Eset alerta para malware que afeta routers e dispositivos IoT

A especialista detetou um bot que combina as capacidades do Tsunami/Kaiten e do Gafgyt, e os investigadores estão a designá-lo por Linux/Remaiten. Até agora, a Eset detetou três versões do Linux/Remaiten e batizou o novo malware de KTN-Remastered ou KTN-RM.

O malware é controlado através do protocolo de comunicação Internet Relay Chat (IRC) tipicamente usado para distribuir ataques de negação de serviço (Distributed Denial-of-Service – DDoS), diz a Eset. A sua principal funcionalidade é um mecanismo de difusão aperfeiçoado, que usa através de binários executáveis descarregáveis (downloader) em routers ou outros dispositivos conectados. Os principais alvos são os que têm fracas credenciais de identificação.

“O trabalho do downloader é solicitar o bot binário Linux/Remaiten a partir do servidor central, C&C server”, explica Michal Malík, investigador de malware na Eset. “Quando executado, ele cria outro bot para os operadores maliciosos usarem. Encontrámos esta técnica de difusão antes no Linux/Moose”, revela o especialista.

Esta estirpe de malware tem ainda uma mensagem para quem tentar neutralizar a sua ameaça. “Dentro da mensagem de boas vindas, a versão 2.0 parece destacar malwaremustdie.org que publicou já imensos detalhes sobre ameaças como Gafgyt, Tsunami e outros membros desta família de malware”, acrescentou Malík.

O especialista publicou uma análise técnica à ameaça, disponível no blogue de segurança da Eset, We Live Security.