Dark Mirai Botnet tem como alvo roteadores TP-LINK TL-24840N
O Dark Mirai Botnet é uma das muitas variações do Mirai Botnet, que tem sido uma ameaça aos dispositivos IoT nos últimos cinco anos. Embora o projeto original esteja morto há muito tempo, o código-fonte disponível publicamente continua a ser usado por operadores de malware. O Dark Mirai Botnet é apenas um dos muitos projetos que fazem isso.
Este botnet é especializado em ataques de negação de serviço distribuído (DDoS) e recentemente adicionou um novo exploit à sua coleção de técnicas de ataque. Esta vulnerabilidade em particular afeta um roteador TP-LINK, que foi lançado em 2017 - o TL-WR840N EU V5. A vulnerabilidade já foi corrigida na atualização de firmware mais recente para o hardware, mas, infelizmente, muitos usuários ainda estão executando uma versão desatualizada.
A vulnerabilidade, classificada como CVE-2021-41653, permite a execução remota de código para usuários autenticados. Os criminosos o estão usando para executar um script bash, que baixaria a carga final. Além disso, o script faz modificações na configuração do roteador para bloquear portas específicas, evitando que outros botnets o infectem. É importante acrescentar que o Dark Mirai Botnet só pode assumir o controle de dispositivos que estão usando as credenciais de login padrão - esta vulnerabilidade é inutilizável sem credenciais de administrador.
Uma vez que o implante está funcionando, os criminosos podem controlá-lo remotamente, comandando-o para executar um ataque DDoS. Parece que o Dark Mirai Botnet não tem outro uso, e os criminosos estão usando-o exclusivamente para tirar serviços e sites off-line. Proteger seus dispositivos do Dark Mirai Botnet e ameaças semelhantes pode ser feito usando o firmware mais recente disponível e escolhendo uma senha segura para todas as contas com privilégios escalados.