Nova Variante do Mirai Explora Vulnerabilidades em DVRs TBK para Criar Botnet e Desestabilizar Serviços Online
Pesquisadores da FortiGuard Labs, uma divisão de inteligência de ameaças da Fortinet, descobriram um novo tipo de malware que compromete dispositivos de Internet das Coisas (IoT) como câmeras de segurança e lâmpadas conectadas. O objetivo é formar redes zumbificadas com esses aparelhos infectados, que são utilizados para atacar e desestabilizar serviços na internet.
Denominado Nexcorium, este malware é uma versão atualizada do Mirai, um dos mais conhecidos malwares na exploração de dispositivos IoT.
Gravadores de Vídeo como Alvo Principal
O foco da operação recai sobre gravadores de vídeo digital (DVR) de câmeras de segurança, especificamente os modelos TBK DVR-4104 e DVR-4216. Tais equipamentos normalmente não recebem atualizações regulares e possuem configurações de segurança frágeis, tornando-se mais vulneráveis a ataques.
A entrada é feita por meio da exploração da CVE-2024-3721, uma vulnerabilidade que permite a execução remota de código malicioso e a manutenção de acesso persistente ao dispositivo.
Após a infecção, os usuários são recebidos com a mensagem "NexusCorp has taken control", uma assinatura que vincula a campanha ao grupo Nexus Team. O código também exibe a frase "Nexus Team – Exploited By Erratic", reforçando a autoria dos ataques.
Malware Resistente e Destruidor de Evidências
O pesquisador Vincent Li, da FortiGuard Labs, descreve o Nexcorium como um malware "multi-arquitetura", permitindo sua execução em diferentes tipos de processadores. Isso amplia significativamente o alcance da ameaça, visto que os dispositivos IoT utilizam diversas arquiteturas de hardware.
Para garantir sua persistência, o malware se copia em múltiplos diretórios do sistema, além de criar tarefas agendadas que o reativam automaticamente após uma reinicialização. Em seguida, elimina os arquivos originais, dificultando a detecção por ferramentas de segurança.
Expansão da Botnet através de Força Bruta
Com o intuito de se expandir, a botnet tenta infectar outros dispositivos na mesma rede local. O Nexcorium utiliza uma lista extensa de senhas padrão, como "admin123" e "12345", testando sistematicamente em roteadores e câmeras conectados. Essa técnica consiste em uma varredura automatizada em busca de credenciais fracas sem alteração pelos administradores.
Além da CVE-2024-3721, o malware também explora a CVE-2017-17215, uma vulnerabilidade mais antiga. Isso evidencia que a operação foi planejada para aproveitar brechas já conhecidas e ainda presentes em equipamentos desatualizados.
Objetivo Final: Derrubar Serviços com Tráfego Falso
Com a botnet em funcionamento, o grupo realiza ataques DDoS (Distributed Denial of Service). Milhares de dispositivos comprometidos geram requisições simultâneas a um alvo, gerando um volume de tráfego suficiente para derrubar o serviço.
Trey Ford, Chief Strategy and Trust Officer da Bugcrowd, destaca que esse caso ilustra um problema estrutural nas estratégias de defesa corporativa. Uma vez identificada uma vulnerabilidade, as ferramentas automatizadas falham em prever como um atacante encadeará acessos e ataques.
Como se Proteger
Ford recomenda que as organizações realizem testes contínuos que simulem o comportamento de atacantes, incluindo dispositivos que muitas vezes ficam fora do escopo de avaliações de segurança. A FortiGuard Labs também aconselha a troca de senhas padrão de fábrica e a manutenção do firmware dos dispositivos sempre atualizado, como as melhores práticas para reduzir a exposição a essa e outras campanhas.
Acompanhe o TecMania nas redes sociais e fique por dentro das últimas notícias sobre segurança e tecnologia!