Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers usando a variante Mirai MooBot para explorar bugs de dispositivos D-Link

Em uma nova onda de ataques, o MooBot, uma variante do malware botnet Mirai, foi detectado recentemente pelos especialistas em segurança cibernética da Unidade 42 da Palo Alto Network.

No início do mês passado, uma nova onda de ataques começou a aparecer. Esta nova onda de ataques teve como alvo principalmente roteadores D-Link vulneráveis ​​como parte desta campanha maliciosa.

Como resultado de uma análise realizada por analistas da Fortinet em dezembro de 2021, foi descoberta a variante Mirai, MooBot. Foi relatado que o malware atualizou o escopo de sua segmentação agora.

Na verdade, é provável que as botnets procurem poças inexploradas de dispositivos vulneráveis ​​que possam usar como isca para capturar as suas vítimas.

Falhas direcionadas em dispositivos D-Link

Existem várias vulnerabilidades em dispositivos D-Link, mas entre elas, o MooBot teve como alvo as quatro críticas, e aqui elas são mencionadas abaixo: –

  • CVE-2015-2051: Vulnerabilidade de execução de comando de cabeçalho D-Link HNAP SOAPAction (versão CVSS 2.0: 10.0 Alto)
  • CVE-2018-6530: Vulnerabilidade de execução remota de código da interface D-Link SOAP (versão CVSS) 3.0: 9.8 Crítico)
  • CVE-2022-26258: Vulnerabilidade de execução remota de comando D-Link (versão CVSS) 3.0: 9.8 Crítico)
  • CVE-2022-28958: Vulnerabilidade de execução remota de comando D-Link (versão CVSS) 3.0: 9.8 Crítico)

As vulnerabilidades podem ser exploradas remotamente por invasores para executar código no host 159.203.15[.]179 e baixe o downloader MooBot do host.

Houve atualizações de segurança lançadas pelo fornecedor para mitigar o impacto das falhas. No entanto, nem todas as atualizações foram aplicadas por todos os usuários.

Análise técnica

Existe uma baixa complexidade de ataque associada às falhas que são exploradas pelos operadores do MooBot. Um binário malicioso é recuperado usando comandos arbitrários quando o RCE é obtido nos alvos.

Nós recomendamos:  Como bloquear YouTube Canais

No C2 que está sob o controle dos agentes da ameaça, todos os roteadores recém-capturados são registrados. Depois que o malware tiver decodificado o endereço codificado do arquivo de configuração, esse cálculo será realizado.

Os endereços para C2 na Unidade 42 relatório são diferentes daqueles do relatório da Fortinet, o que é uma diferença significativa à qual devemos prestar atenção. Uma indicação de que a infraestrutura do autor da ameaça foi atualizada.

Um dispositivo D-Link comprometido pode fazer com que os usuários percebam vários sintomas como: –

  • Problemas de queda de velocidade da Internet
  • Falta de resposta
  • Superaquecimento do roteador
  • Alterações incertas na configuração de DNS

Recomendações

Para evitar esse problema, os pesquisadores de segurança cibernética instaram os usuários a atualizar patches e software sempre que possível. É recomendado que você siga as seguintes recomendações se você acredita que já pode ter sido comprometido:-

  • É recomendado que você reinicie seu roteador.
  • A senha da sua conta de administrador precisa ser alterada.
  • Certifique-se de ter as atualizações de segurança mais recentes instaladas.

Baixe SWG grátis – Filtragem segura da Web – Livro eletrônico