A equipe de laboratórios de ameaças da Avast descobriu “o botnet mais sofisticado que eles já viram” e está direcionando dispositivos IoT.

A nova cepa / botnet de malware da IoT, que a empresa nomeou codinome Torii, se espalhou por serviços de telnet mal protegidos com o ataque decorrente dos nós de saída do Tor.

  • Também destacamos o melhor antivírus

Entrega de carga útil

De acordo com o Avast, a cadeia de infecção começa com um ataque telnet às credenciais fracas dos dispositivos alvo, seguido pela execução de um script de shell inicial. O script tenta descobrir a arquitetura do dispositivo de destino e, depois de concluído, tenta fazer o download da carga útil apropriada para os dispositivos (arquivos binários no formato ELF).

A principal funcionalidade dessas cargas é instalar um ELF interno com o primeiro arquivo ELF. Esse é o segundo estágio executável, que é altamente persistente e usa pelo menos seis métodos para garantir que o arquivo ELF permaneça no dispositivo e esteja sempre em execução. Depois disso, o ELF interno é executado para entregar a carga útil do segundo estágio, um bot completo capaz de executar comandos de seu servidor mestre CnC..

Detalhes da ameaça

O Torii ainda precisa ser usado tanto em ataques DDoS quanto em cryptojacking. Em vez disso, o malware rouba dados de dispositivos IoT e permite que os invasores executem o código remotamente, o que pode permitir que eles executem qualquer comando nas máquinas infectadas. No entanto, o malware é capaz de buscar e executar outros comandos usando várias camadas de criptografia.

O Torii é uma das mais sofisticadas tensões de malware já observadas pelo Avast. Além de compartilhar informações sobre dispositivos infectados, a comunicação do malware com o servidor CnC permite que seus autores executem qualquer código ou entreguem qualquer carga útil a um dispositivo infectado. Isso sugere que o Torii poderia se tornar uma plataforma modular para uso futuro.

  • Estas são as melhores ferramentas gratuitas de remoção de malware