){kind=link}
Pesquisadores da FortiGuard Labs, divisão de inteligência de ameaças da Fortinet, identificaram um novo malware que sequestra dispositivos de Internet das Coisas (IoT) – como câmeras, babás eletrônicas ou lâmpadas inteligentes. O objetivo é montar redes zumbificadas com os aparelhos infectados, utilizados para desestabilizar sites e serviços em todo o mundo.
Batizado de Nexcorium, o código é uma variante atualizada do Mirai, um dos malwares mais conhecidos entre os utilizados para comprometer dispositivos.
smart_display
Nossos vídeos em destaque
DVRs de câmeras de segurança são o alvo preferencial
O foco principal da campanha são gravadores de vídeo digital (DVR) usados em sistemas de câmeras de segurança, especificamente os modelos TBK DVR-4104 e DVR-4216. Isso porque esses equipamentos costumam operar sem atualizações regulares e com configurações de segurança fracas, o que os torna mais fáceis de comprometer.
A entrada se dá pela exploração da CVE-2024-3721, uma vulnerabilidade de injeção de comandos presente nesses modelos. A falha permite que o invasor execute código malicioso remotamente e mantenha acesso persistente ao dispositivo.
Após a infecção bem-sucedida, o sistema exibe a mensagem “NexusCorp has taken control”, uma assinatura que atribui a campanha ao grupo Nexus Team. O código também traz a frase “Nexus Team – Exploited By Erratic”, reforçando a autoria.
Malware apaga rastros e resiste a reinicializações
Vincent Li, pesquisador da FortiGuard Labs, descreveu o Nexcorium como um malware “multi-arquitetura”, capaz de rodar em diferentes tipos de processadores. Isso amplia o alcance da ameaça, já que dispositivos IoT utilizam uma variedade grande de arquiteturas de hardware.
)
Para garantir persistência, o malware se copia em múltiplos diretórios do sistema e cria tarefas agendadas que o reativam automaticamente após um reboot. Em seguida, apaga os arquivos originais para dificultar a detecção por ferramentas de segurança.
Força bruta expande a rede de dispositivos infectados
Para crescer, a botnet tenta infectar outros dispositivos na mesma rede local. O Nexcorium carrega uma lista extensa de senhas padrão, como “admin123”, “12345” e “guest”, e as testa sistematicamente em roteadores e câmeras conectados. A técnica é basicamente uma varredura automatizada por credenciais fracas ou nunca alteradas pelos administradores.
Além da CVE-2024-3721, o malware também explora a CVE-2017-17215, uma vulnerabilidade mais antiga. Isso demonstra que a operação foi desenhada para aproveitar brechas já conhecidas e ainda presentes em equipamentos desatualizados.
)
self_delete() identificada no código do Nexcorium. O malware usa readlink para localizar seu próprio executável via /proc/self/exe e em seguida o remove com unlink, apagando rastros da infecção. Imagem: FortiGuard Labs.Objetivo final é derrubar serviços com tráfego falso
Com a botnet montada, o grupo lança ataques DDoS (Distributed Denial of Service). Isso porque milhares de dispositivos infectados passam a enviar requisições simultâneas a um alvo, gerando volume de tráfego suficiente para derrubar o serviço.
Para Trey Ford, Chief Strategy and Trust Officer da Bugcrowd, empresa californiana de segurança crowdsourced, o caso ilustra um problema estrutural nas estratégias de defesa corporativa.
Segundo ele, ferramentas automatizadas identificam a existência de uma vulnerabilidade, mas não conseguem prever como um atacante vai encadear, armar e sustentar o acesso depois que o alerta inicial disparar.
)
attack_start(), responsável por disparar os ataques DDoS a partir dos dispositivos infectados. Imagem: FortiGuard Labs.Como se proteger
Ford recomenda que as organizações adotem testes adversariais contínuos que repliquem o comportamento real de atacantes. Isso inclui dispositivos que costumam ficar fora do escopo das avaliações de segurança.
A recomendação prática da FortiGuard Labs é trocar senhas padrão de fábrica e manter o firmware dos dispositivos atualizado são as medidas mais eficazes para reduzir a exposição à campanha.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.