NoaBot – um novo malware baseado no código Mirai

Um botnet recentemente surgido chamado NoaBot, baseado no Mirai, tem sido empregado por agentes de ameaças em uma campanha de mineração de criptografia desde o início de 2023. De acordo com um relatório do pesquisador de segurança Stiv Kupchik, o NoaBot possui recursos como um worm que se espalha automaticamente. e um backdoor de chave SSH, permitindo o download e a execução de binários adicionais ou a propagação para novas vítimas.

Mirai, cujo código-fonte foi vazado em 2016, deu origem a vários botnets, sendo o mais recente o InfectedSlurs, capaz de lançar ataques distribuídos de negação de serviço (DDoS). Há indicações de que o NoaBot pode ter conexões com outra campanha de botnet envolvendo uma família de malware baseada em Rust conhecida como P2PInfect, recentemente atualizada para direcionar roteadores e dispositivos IoT.

NoaBot depende do scanner SSH para procurar vulnerabilidades

As evidências sugerem que os agentes da ameaça experimentaram substituir o P2PInfect pelo NoaBot em ataques recentes a servidores SSH, sugerindo esforços potenciais para fazer a transição para malware personalizado. Apesar da base Mirai do NoaBot, seu módulo espalhador emprega um scanner SSH para identificar servidores vulneráveis a ataques de dicionário, permitindo-lhe usar força bruta e adicionar uma chave pública SSH para acesso remoto. Opcionalmente, ele pode baixar e executar binários adicionais após uma exploração bem-sucedida ou se espalhar para novas vítimas.

Notavelmente, o NoaBot se destaca de outras campanhas baseadas em botnets Mirai porque sua variante carece de informações sobre o pool de mineração ou o endereço da carteira, tornando difícil avaliar a lucratividade do esquema ilícito de mineração de criptomoedas. Os investigadores identificaram 849 endereços IP de vítimas, geograficamente dispersos em todo o mundo, com uma concentração significativa na China, responsável por quase 10% de todos os ataques contra os seus honeypots em 2023.