Um novo malware ameaça roteadores D-Link e TP-Link

Um novo malware chamado ShadowV2, baseado no malware Mirai, foi detectado atacando roteadores da D-Link, TP-Link e outras marcas conhecidas por ter vulnerabilidades exploradas. Os pesquisadores do FortiGuard Labs, da Fortinet, notaram a atividade durante a queda da AWS em outubro.

O ShadowV2 se espalha através de pelo menos oito vulnerabilidades em diversos equipamentos de internet das coisas (IoT), incluindo:

• DD-WRT (CVE-2009-2765)
• D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915)
• DigiEver (CVE-2023-52163)
• TBK (CVE-2024-3721)
• TP-Link (CVE-2024-53375)

Uma das falhas, a CVE-2024-10914, é conhecida por ser usada para injetar comandos em aparelhos D-Link end-of-life, mas a empresa afirmou que não corrigirá o problema. A CVE-2024-10915 também não está nos planos de ser mitigada pela companhia.

Os ataques ShadowV2 vieram do endereço 198[.]199[.]72[.]27 e miraram em roteadores, dispositivos NAS e DVRs de sete setores diferentes, como governos, indústria, provedores de segurança, telecomunicações, educação e tecnologia. Os setores afetados vão da América do Sul e do Norte a África, Ásia, Europa e Austrália.

O ShadowV2 é semelhante à Mirai LZRD e acessa aparelhos com um script de download que busca um arquivo no endereço 81[.]88[.]18[.]108. É usada a configuração de codificação XOR para caminhos filesystem, strings User-Agent, headers de HTTP e strings no estilo Mirai.

Com isso, os hackers realizam ataques DDoS em protocolos UDP, TCP e HTTP, com gatilhos comandados por servidores de comando e controle (C2). Botnets de DDoS costumam fazer dinheiro ao alugar seu poder de fogo para cibercriminosos ou extorquindo vítimas diretamente, mas o modus operandi do grupo responsável pelo ShadowV2 ainda é desconhecido.

Este conteúdo pode conter links de compra.