Vírus ataca câmeras de segurança para aumentar ‘exército robô’ do cibercrime

23 abr Vírus ataca câmeras de segurança para aumentar ‘exército robô’ do cibercrime

Posted at 17:30h in Tech-Pt-br by

Pesquisadores da FortiGuard Labs, divisão de inteligência de ameaças da Fortinet, identificaram um novo malware que sequestra dispositivos de Internet das Coisas (IoT) – como câmeras, babás eletrônicas ou lâmpadas inteligentes. O objetivo é montar redes zumbificadas com os aparelhos infectados, utilizados para desestabilizar sites e serviços em todo o mundo.

Batizado de Nexcorium, o código é uma variante atualizada do Mirai, um dos malwares mais conhecidos entre os utilizados para comprometer dispositivos.

DVRs de câmeras de segurança são o alvo preferencial

O foco principal da campanha são gravadores de vídeo digital (DVR) usados em sistemas de câmeras de segurança, especificamente os modelos TBK DVR-4104 e DVR-4216. Isso porque esses equipamentos costumam operar sem atualizações regulares e com configurações de segurança fracas, o que os torna mais fáceis de comprometer.

Cabeçalho HTTP capturado durante a exploração da CVE-2024-3721 em DVRs TBK. O campo X-Hacked-By: Nexus Team – Exploited By Erratic é a assinatura deixada pelos atacantes nas requisições maliciosas. Imagem: FortiGuard Labs.

A entrada se dá pela exploração da CVE-2024-3721, uma vulnerabilidade de injeção de comandos presente nesses modelos. A falha permite que o invasor execute código malicioso remotamente e mantenha acesso persistente ao dispositivo.

Após a infecção bem-sucedida, o sistema exibe a mensagem “NexusCorp has taken control”, uma assinatura que atribui a campanha ao grupo Nexus Team. O código também traz a frase “Nexus Team – Exploited By Erratic”, reforçando a autoria.

Malware apaga rastros e resiste a reinicializações

Vincent Li, pesquisador da FortiGuard Labs, descreveu o Nexcorium como um malware “multi-arquitetura”, capaz de rodar em diferentes tipos de processadores. Isso amplia o alcance da ameaça, já que dispositivos IoT utilizam uma variedade grande de arquiteturas de hardware.

Análise do payload ofuscado do Nexcorium no CyberChef, com decodificação XOR usando a chave 0x13. Imagem: FortiGuard Labs.

Para garantir persistência, o malware se copia em múltiplos diretórios do sistema e cria tarefas agendadas que o reativam automaticamente após um reboot. Em seguida, apaga os arquivos originais para dificultar a detecção por ferramentas de segurança.

Força bruta expande a rede de dispositivos infectados

Para crescer, a botnet tenta infectar outros dispositivos na mesma rede local. O Nexcorium carrega uma lista extensa de senhas padrão, como “admin123”, “12345” e “guest”, e as testa sistematicamente em roteadores e câmeras conectados. A técnica é basicamente uma varredura automatizada por credenciais fracas ou nunca alteradas pelos administradores.

Além da CVE-2024-3721, o malware também explora a CVE-2017-17215, uma vulnerabilidade mais antiga. Isso demonstra que a operação foi desenhada para aproveitar brechas já conhecidas e ainda presentes em equipamentos desatualizados.

Função self_delete() identificada no código do Nexcorium. O malware usa readlink para localizar seu próprio executável via /proc/self/exe e em seguida o remove com unlink, apagando rastros da infecção. Imagem: FortiGuard Labs.

Objetivo final é derrubar serviços com tráfego falso

Com a botnet montada, o grupo lança ataques DDoS (Distributed Denial of Service). Isso porque milhares de dispositivos infectados passam a enviar requisições simultâneas a um alvo, gerando volume de tráfego suficiente para derrubar o serviço.

Para Trey Ford, Chief Strategy and Trust Officer da Bugcrowd, empresa californiana de segurança crowdsourced, o caso ilustra um problema estrutural nas estratégias de defesa corporativa.

Segundo ele, ferramentas automatizadas identificam a existência de uma vulnerabilidade, mas não conseguem prever como um atacante vai encadear, armar e sustentar o acesso depois que o alerta inicial disparar.

Trecho do código descompilado do Nexcorium mostra a chamada à função attack_start(), responsável por disparar os ataques DDoS a partir dos dispositivos infectados. Imagem: FortiGuard Labs.

Como se proteger

Ford recomenda que as organizações adotem testes adversariais contínuos que repliquem o comportamento real de atacantes. Isso inclui dispositivos que costumam ficar fora do escopo das avaliações de segurança.

A recomendação prática da FortiGuard Labs é trocar senhas padrão de fábrica e manter o firmware dos dispositivos atualizado são as medidas mais eficazes para reduzir a exposição à campanha.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.