Configuração e uso de cibercriminosos botnets para realizar ataques DDoS, roubar dados e enviar spam, mas agora os pesquisadores do Bitdefender descobriram dicas de que o botnet Interplanetary Storm pode ser usado para outra coisa.
Tempestade interplanetária (IPStorm) foi descoberta pela primeira vez por pesquisadores da empresa de segurança cibernética Anomali em junho do ano passado. Porém, Bitdefender deparei com uma nova campanha usando o botnet quando ele atacou os honeypots SSH da empresa em maio deste ano.
O malware continuou a evoluir desde então, à medida que seus criadores integraram novos recursos na tentativa de ocultar suas atividades com tráfego inócuo. Os recursos do IPStorm incluem a capacidade de criar backdoor em um dispositivo que executa comandos shell e gera tráfego malicioso por meio da varredura da Internet e da infecção de outros dispositivos.
O Bitdefender forneceu mais informações sobre o IPStorm em seu novo white paper intitulado “Olhando para o olho da tempestade interplanetária“, dizendo:
“Comparado com outro malware Golang que analisamos no passado, o IPStorm é notável por seu design complexo devido à interação de seus módulos e a maneira como usa construções libp2p. É claro que o ator da ameaça por trás do botnet é competente em Golang; Uma consequência das boas práticas de codificação do autor do malware, ou seja, sua meticulosidade no tratamento de erros, é que torna o processo de engenharia reversa mais fácil, já que muitas sequências de código são acompanhadas por sequências de log relevantes. “
Rede proxy baseada em assinatura
Em sua nova iteração, o IPStorm se espalha atacando sistemas baseados em Unix, incluindo Linux, Android e Darwin, executando servidores SSH conectados à Internet com credenciais fracas ou servidores ADB inseguros.
O Bitdefender acredita que o botnet tem o potencial de ser usado como uma rede proxy de anonimato como serviço que pode ser alugada a outros cibercriminosos usando um modelo baseado em assinatura.
Embora o botnet tenha sido analisado anteriormente por pesquisadores da empresa, o monitoramento constante do ciclo de vida de desenvolvimento do IPStorm revelou que os cibercriminosos por trás dele são proficientes em usá-lo. Golang e melhores práticas de desenvolvimento, bem como ocultar nós de gerenciamento de botnet.
Ao mesmo tempo, o IPStorm tem uma infraestrutura complexa e modular projetada para pesquisar e comprometer novos alvos, enviar e sincronizar novas versões de malware, executar comandos arbitrários em máquinas infectadas e se comunicar com um servidor C2 que expõe uma API da web.
O botnet IPStorm certamente deve ser observado, especialmente se a previsão do Bitdefender de que poderia ser alugado como um rede proxy torna-se realidade.
