A botnet Bitxor20 abusa da vulnerabilidade Log4J

A vulnerabilidade do Log4J permitiu que dezenas de cibercriminosos expandissem rapidamente seu alcance e amplifiquem a eficiência de seus ataques. Uma das famílias de malware que passou despercebida até agora foi o Bitxor20 Botnet. Este malware é compatível com dispositivos que usam a arquitetura Linux ARM. Os criminosos por trás do Bitxor20 Botnet podem estar ativos há quase dois meses e, durante esse período, sua carga útil passou por inúmeras melhorias.

O que o botnet Bitxor20 pode fazer?

A botnet é especializada em exfiltrar dados confidenciais de sistemas infectados, implantar rootkits e transformar as redes infectadas em servidores proxy. A funcionalidade do rootkit é certamente uma abordagem interessante, pois tornaria a descoberta e a remoção do Bitxor20 Botnet muito mais desafiadora. Além disso, não há muitos rootkits compatíveis com sistemas Linux.

Outra vantagem legal do Bitxor20 Botnet é sua capacidade de transferir dados entre a vítima e o servidor de Comando e Controle por meio do protocolo DNS. Embora isso limite a quantidade de informações que ele pode transferir, permite que os criminosos ocultem facilmente o tráfego malicioso com um tráfego legítimo. Além disso, os serviços de firewall tendem a ser muito mais relaxados quando se trata de filtrar solicitações de DNS – dando ao Bitxor20 Botnet uma vantagem quando se trata de contornar as defesas de firewall.

Enquanto a maioria dos botnets que exploram a vulnerabilidade Log4J é especializada em ataques de negação de serviço distribuído (DDoS) ou mineração de criptomoedas, o Bitxor20 Botnet tem seus olhos postos em outro lugar. Escusado será dizer que é uma ameaça excepcionalmente perigosa que deve ser interrompida a qualquer custo. Usar ferramentas de firewall e segurança Linux atualizadas, bem como aplicar as atualizações de firmware e patches de software mais recentes, é uma ótima maneira de mitigar ataques de malware desse tipo.