Mirai Malware: usa o servidor C&C no Tor para impedir a detecção

Miraio Mirai é um dos malwares mais famosos, direcionado Dispositivos IoT, como câmeras IP e DVRs. O objetivo é ganhando controle total desses dispositivos. O malware explora portas vulneráveis, credenciais padrão e várias vulnerabilidades. Ele então adiciona os dispositivos a uma rede botnet.

No ataque atual, os pesquisadores descobriram que os hackers colocaram um servidor cmmand e controle (C & C) na rede Tor. Isso não foi visto em nenhuma das versões anteriores da Mirai.

O uso do Tor ajuda a impedir a detecção.

Um pesquisador da Trend Micro descobriu uma amostra com quatro servidores C&C com 30 endereços IP codificados. A amostra foi isolada por pesquisadores em ambiente sandbox e estudada.

Os pesquisadores confirmaram após o estudo que os hackers usaram a rede Tor.

Processo de infecção

A nova versão do Mirai varre as portas TCP 9527 e 34567 para encontrar câmeras IP e DVRs desprotegidos, para que os hackers obtenham acesso remoto aos dispositivos.

Após a verificação, os hackers usam senhas comuns ou padrão para obter acesso aos dispositivos infectados.

Pesquisadores da Trend Micro descobriram um comando DdoS enviado pelo servidor C&C por meio de um ataque de inundação UDP em um endereço IP específico.

Os invasores decidiram instalar o servidor C&C no Tor para evitar o monitoramento de seu endereço IP.

Pesquisadores descobriram outro servidor de distribuição. Pelo visto, hackers projetaram a nova versão do Mirai para atacar muitas redes. Especialistas recomendam para usuários e empresas comuns atualizar os sistemas e seus dispositivos com os patches mais recentes. Além disso, credenciais pré-selecionadas precisam ser alteradas e substituídas por senhas mais complexas e poderosas e para implementar vários sistemas de controle de identidade para evitar tais ataques.