Um novo malware, chamado KmsdBot, atinge dispositivos de usuários. A Akamai SIRT descobriu um novo malware que usa o SSH (Capsula segura) protocolo para se infiltrar em sistemas alvo a fim de extrair criptomoedas e realizar ataques DDoS. Ele se espalha disfarçado de bot para jogos populares, em particular, GTA V. A ameaça combinada levanta analistas de malware’ preocupações sobre a possível disseminação massiva desse tipo de malware.
Ataques KmsdBot, usando vulnerabilidades de segurança
Os especialistas chamaram o malware de KmsdBot. É desenvolvido com base em Golang e destina-se a diversas empresas – de jogos a marcas automotivas e empresas de segurança. GoLang ganha popularidade entre desenvolvedores de malware, como é bastante difícil fazer engenharia reversa essa lingua. A botnet infecta sistemas através de uma conexão SSH usando “fraco” credenciais de login. O KmsdBot não permanece persistente no sistema infectado para evitar a detecção.
O malware recebe esse nome do executável “kmsd.exe”, que é baixado de um servidor remoto após um comprometimento bem-sucedido. Ele também é projetado para suportar múltiplas arquiteturas – Winx86, Arm64, mips64 e x86_64. KmsdBot pode realizar operações de varredura e autopropagação baixando uma lista de combinações de nome de usuário/senha. A botnet também é capaz de controlar processos de mineração e atualizações de malware. O controle é possível através do comunicações com servidor C2.
De acordo com Akamai, o primeiro alvo detectado do KmsdBot foi a empresa de jogos FiveM, um mod multijogador para GTA V que permite aos jogadores acessar servidores de RPG personalizados. Ataques DDoS de botnet incluem camada OSI 4 e 7 ataques, no qual uma inundação de TCP, UDP, ou solicitações HTTP GET são enviados para sobrecarregar os recursos do servidor de destino e colocá-lo em um estado de negação de serviço. Vale ressaltar que o botnet KmsdBot começou como um bot para um aplicativo de jogos, mas se transformou em uma ferramenta para atacar nomes mundialmente conhecidos.
O KmsdBot é perigoso?
Como qualquer outro malware, KmsdBot não é uma adição agradável ao sistema infectado. Traz mineração de moedas e capacidades DDoS, o que cria problemas suficientes com o uso do PC, independentemente da tarefa. A mineração supõe altas taxas de utilização de hardware, o que torna problemático até mesmo o uso de aplicativos básicos. Ataques DDoS, por outro lado, não apenas consome muita largura de banda, mas também pode liderar a proibições para o endereço IP de um PC infectado nos sites atacados.
A outra face do perigo deste malware é a forma como ele se espalha nos computadores dos usuários. Além do fato de que a exploração não é algo típico de malware direcionado a usuários únicos, também optou por um disfarce de bot para o jogo – GTA V. Os jogadores não são conhecidos como os usuários mais cuidadosos, já que são o público comum para cracks, manchas, e diferentes ferramentas de automação como bots. Já que GTA V não é o único jogo que torna lucrativo o uso do bot, será óbvio ver o aumento da propagação do KmsdBot nas próximas semanas.
