Pesquisadores de segurança cibernética descobriram uma nova família de malware de botnet chamada Gorilla (também conhecida como GorillaBot), que é uma variante do código-fonte vazado do botnet Mirai.
A empresa de segurança cibernética NSFOCUS, que identificou a atividade no mês passado, disse que o botnet “emitiu mais de 300.000 comandos de ataque, com uma densidade de ataque chocante” entre 4 e 27 de setembro de 2024. Nada menos que 20.000 comandos projetados para montar negação de serviço distribuída (DDoS) ataques têm sido emitidos pela botnet todos os dias, em média.
Diz-se que a botnet teve como alvo mais de 100 países, atacando universidades, websites governamentais, telecomunicações, bancos, jogos e setores de jogos de azar. China, EUA, Canadá e Alemanha emergiram como os países mais atacados.
A empresa sediada em Pequim disse que Gorilla usa principalmente inundação UDP, inundação ACK BYPASS, inundação Valve Supply Engine (VSE), inundação SYN e inundação ACK para conduzir ataques DDoS, acrescentando que a natureza sem conexão do protocolo UDP permite falsificação de IP de origem arbitrária para gerar uma grande quantidade de tráfego.
Além de suportar múltiplas arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, o botnet vem com recursos para se conectar a um dos cinco servidores de comando e controle (C2) predefinidos para aguardar comandos DDoS.
Em uma reviravolta interessante, o malware também incorpora funções para explorar uma falha de segurança no Apache Hadoop YARN RPC para obter execução remota de código. É importante notar que a deficiência tem sido abusada já em 2021, de acordo com Alibaba Cloud e Pattern Micro.
A persistência no host é obtida criando um arquivo de serviço chamado customized.service no diretório “/and so on/systemd/system/” e configurando-o para ser executado automaticamente sempre na inicialização do sistema.
O serviço, por sua vez, é responsável por baixar e executar um script shell (“lol.sh”) de um servidor remoto (“pen.gorillafirewall(.)su”). Comandos semelhantes também são adicionados aos arquivos “/and so on/inittab”, “/and so on/profile” e “/boot/bootcmd” para baixar e executar o script de shell na inicialização do sistema ou no login do usuário.
“Ele introduziu vários métodos de ataque DDoS e usou algoritmos de criptografia comumente empregados pelo grupo Keksec para ocultar informações importantes, ao mesmo tempo em que empregou múltiplas técnicas para manter o controle de longo prazo sobre dispositivos IoT e hosts em nuvem, demonstrando um alto nível de consciência de contra-detecção como um família emergente de botnets”, disse NSFOCUS.