Em 2020, um grupo de cibercriminosos ativou uma variante do conhecido malware PlugX. Ele foi projetado para se espalhar para outros computadores através de unidades USB. Da mesma forma, foi capaz de infectar redes internas e roubar documentos delas.
Em algum momento do ano passado, porém, os criadores deste worm desapareceram de cena. Por razões desconhecidas, eles abandonaram o servidor de comando e controle (C&C) que usavam para obter o controle das máquinas infectadas.
Um worm abandonado (e fora de controle)
Embora a variante PlugX estivesse ativa, os cibercriminosos conseguiram configurar uma botnet de milhões de computadores. Estamos a falar de um enorme conjunto de equipamentos que poderão ser controlados remotamente por atacantes.
Agora, ao remover o C&C da equação, não havia mais ninguém controlando o malware, portanto ele não era mais uma ameaça. A verdade é que apenas uma parte deste programa malicioso deixou de ser um problema com que se preocupar, porque outra parte ainda estava muito ativa.
Foi exatamente isso que puderam verificar os pesquisadores da Sekoia, que tiveram uma ideia muito interessante: pegar o controle do C&C para evitar que alguém reviva a variante PlugX e, sobretudo, para obter dados adicionais sobre o seu funcionamento.
A análise de um host infectado permitiu identificar a qual endereço IP o malware estava se conectando, que era justamente o endereço IP do servidor de comando e controle. Como esse IP estava disponível, a Sekoia fez um pequeno desembolso de dinheiro para gerenciá-lo.
Concluída esta etapa tão importante, os pesquisadores descobriram algo surpreendente: entre 90 e 100 mil endereços IP enviavam exclusivamente solicitações diárias para a antiga variante C&C do PlugX. Em três meses, foram registradas 2,5 milhões de solicitações de IP único.
Como sabemos, é difícil identificar o número de computadores infectados com base nesta informação, mas podemos fazer uma aproximação. Os especialistas acreditam que o worm continua a se espalhar e está ativo em possivelmente milhões de dispositivos.
O worm, por sua essência, continuou a operar no “piloto automático” e, embora a botnet está desmantelada os pesquisadores alertam que qualquer pessoa com capacidade de espionagem pode enviar comandos arbitrários aos hosts infectados para reanimá-lo.
Diante desse cenário, a Sekoia descobriu que é possível usar o C&C para neutralizar completamente a ameaça tanto em computadores comprometidos quanto em unidades USB. Esta é uma possibilidade técnica que não foi posta em prática na realidade.
Imagens | Criador de imagens do Bing
Em Xataka | Nem 12345 nem admin: o Reino Unido proíbe dispositivos de terem senhas fracas por padrão