Vírus ataca câmeras de segurança para aumentar 'exército robô' do cibercrime

Pesquisadores da FortiGuard Labs, divisão de inteligência de ameaças da Fortinet, identificaram um novo malware que sequestra dispositivos de Internet das Coisas (IoT) – como câmeras, babás eletrônicas ou lâmpadas inteligentes. O objetivo é montar redes zumbificadas com os aparelhos infectados, utilizados para desestabilizar sites e serviços em todo o mundo.

Batizado de Nexcorium, o código é uma variante atualizada do Mirai, um dos malwares mais conhecidos entre os utilizados para comprometer dispositivos.

DVRs de câmeras de segurança são o alvo preferencial

O foco principal da campanha são gravadores de vídeo digital (DVR) usados em sistemas de câmeras de segurança, especificamente os modelos TBK DVR-4104 e DVR-4216. Isso porque esses equipamentos costumam operar sem atualizações regulares e com configurações de segurança fracas, o que os torna mais fáceis de comprometer.

A entrada se dá pela exploração da CVE-2024-3721, uma vulnerabilidade de injeção de comandos presente nesses modelos. A falha permite que o invasor execute código malicioso remotamente e mantenha acesso persistente ao dispositivo.

Após a infecção bem-sucedida, o sistema exibe a mensagem "NexusCorp has taken control", uma assinatura que atribui a campanha ao grupo Nexus Team. O código também traz a frase "Nexus Team – Exploited By Erratic", reforçando a autoria.

Malware apaga rastros e resiste a reinicializações

Vincent Li, pesquisador da FortiGuard Labs, descreveu o Nexcorium como um malware "multi-arquitetura", capaz de rodar em diferentes tipos de processadores. Isso amplia o alcance da ameaça, já que dispositivos IoT utilizam uma variedade grande de arquiteturas de hardware.

Para garantir persistência, o malware se copia em múltiplos diretórios do sistema e cria tarefas agendadas que o reativam automaticamente após um reboot. Em seguida, apaga os arquivos originais para dificultar a detecção por ferramentas de segurança.

Força bruta expande a rede de dispositivos infectados

Para crescer, a botnet tenta infectar outros dispositivos na mesma rede local. O Nexcorium carrega uma lista extensa de senhas padrão,  como "admin123", "12345" e "guest", e as testa sistematicamente em roteadores e câmeras conectados. A técnica é basicamente uma varredura automatizada por credenciais fracas ou nunca alteradas pelos administradores.

Além da CVE-2024-3721, o malware também explora a CVE-2017-17215, uma vulnerabilidade mais antiga. Isso demonstra que a operação foi desenhada para aproveitar brechas já conhecidas e ainda presentes em equipamentos desatualizados.

Objetivo final é derrubar serviços com tráfego falso

Com a botnet montada, o grupo lança ataques DDoS (Distributed Denial of Service). Isso porque milhares de dispositivos infectados passam a enviar requisições simultâneas a um alvo, gerando volume de tráfego suficiente para derrubar o serviço.

Para Trey Ford, Chief Strategy and Trust Officer da Bugcrowd, empresa californiana de segurança crowdsourced, o caso ilustra um problema estrutural nas estratégias de defesa corporativa. 

Segundo ele, ferramentas automatizadas identificam a existência de uma vulnerabilidade, mas não conseguem prever como um atacante vai encadear, armar e sustentar o acesso depois que o alerta inicial disparar.

Como se proteger

Ford recomenda que as organizações adotem testes adversariais contínuos que repliquem o comportamento real de atacantes. Isso inclui dispositivos que costumam ficar fora do escopo das avaliações de segurança.

A recomendação prática da FortiGuard Labs é trocar senhas padrão de fábrica e manter o firmware dos dispositivos atualizado são as medidas mais eficazes para reduzir a exposição à campanha.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.