Uma coalizão entre órgãos de segurança pública e empresas de tecnologia, incluindo Microsoft, CERT.PL, ESET, FBI, Interpol e Europol derrubou uma rede zumbi de mais de 1 milhão de computadores infectados com o Dorkbot.

O sucesso da operação, certamente, se deve à estreita colaboração entre as autoridades policiais dos países participantes e as empresas do setor privado. A Interpol, inclusive, incentiva as empresas de cibersegurança a trabalharem em conjunto no combate ao cibercrime.

O que é a Dorkbot?

Dorkbot é uma família de worms distribuídos por meio de uma botnet.

Um bot é uma máquina individual. Pode ser um computador desktop, laptop ou servidor, smartphone ou tablet, que tenha sido infectado com malware e está sob o controle de um atacante (conhecido como bot-herder).

Botnets são redes que consistem em milhares, centenas de milhares, e até milhões de bots distribuídos em todo o mundo. As botnets são por vezes classificados como botnets de spam , botnets DDoS , botnets financeiras , dentre outras classificações.

botnet Dorkbot é usada para realização de uma série de atividades ilegais, como:

  • Furtar dados de pagamentos online.
  • Furtar elementos de autenticação de serviços como  Gmail, Facebook, PayPal, Vapor, eBay, Twitter e Netflix.
  • Efetuar ataques DDoS (ataque distribuído de negação de serviço).
  • Disseminar outros tipos de malware para os computadores das vítimas.

Segundo a Microsoft:

a família de malware (Win32/Dorkbot) utilizada nesta botnet já infectou mais de um milhão de computadores pessoais em pelo menos 190 países ao longo do ano passado.

Win32/DorkbotComo o Dorkbot se espalha?

O Dorkbot, normalmente, se espalha por meio de links maliciosos enviados pelas de redes sociais, programas de mensagens instantâneas ou por dispositivos USB infectados.

Distribuição Dorkbot

Em um tipo de infecção conhecido como drive-by-download, os atacantes utilizam um exploit kit, que é uma ferramenta projetada para explorar as vulnerabilidades dos computadores dos usuários, geralmente visando navegadores e programas que podem ser carregados pelo browser, como o Adobe Reader, Java e Adobe Flash.

Quando um computador se conecta a um site de exploit, a ferramenta tentará explorar a vulnerabilidade do software para instalar o worm Dorkbot .

Uma vez que uma máquina esteja infectada, o Dorkbot se distribuirá pelas unidades removíveis, programas de mensagens instantâneas e redes sociais.

Importante dizer que os sites de exploit podem ser criados para propagar o malware, como também podem ser sites legítimos que foram invadidos. Veja um exemplo aqui.

Uma vez instalado na máquina, o malware, primeiramente, irá interferir no funcionamento normal do software de segurança, bloqueando o acesso aos seus servidores de atualização e, em seguida, se conectará a um servidor IRC para receber mais comandos de controle.

A botnet Dorkbot é operada por meio de um Internet Relay Chat (IRC) malicioso chamado NgrBot, comercializado como um “Kit Crime” em fóruns online da darkweb. O kit inclui orientações e a documentação sobre como criar uma botnet Dorkbot .

As figuras abaixo mostram uma das interfaces do construtor para a Dorkbot, ilustrando todas as funcionalidades disponíveis que o operador pode definir, incluindo as configurações do servidor de IRC e as configurações de comando.

NgbrBot Builder 1.2.0.1
Configurações do servidor de IRC do kit construtor Dorkbot.
Ngrbot Builder 1.2.0.1
Definições de comandos do construtor Dorkbot

Uma vez conectado ao servidor de comando, o Dorkbot pode ser instruído a bloquear o acesso a determinados sites de segurança. O objetivo é impedir que uma máquina infectada atualize suas definições antimalware, evitando assim a eliminação do Dorkobot.

Medidas preventivas. Não custa nada repeti-las.

O poder de dano das botnets está diretamente associada com a quantidade de bots (máquinas zumbis) que as compõem. Portanto, quanto menos máquinas infectadas, os danos poderão ser menores.

Recomendações para usuários finais:

  • Tenha cuidado ao abrir e-mails ou mensagens de mídia social de usuários desconhecidos.
  • Seja cauteloso ao fazer download de software de websites que não sejam o do desenvolvedor do programa.
  • Execute e atualize o software antimalware regularmente.
  • Instale um bom firewall.
  • Atualize o sistema operacional e os aplicativos tais como Adobe Reader, Java e Adobe Flash.

Recomendações para administradores de redes:

  • Monitore o tráfego da rede.
  • Detecte máquinas infectadas rodando um software antimalware.
  • Impeça a participação de máquinas zumbis que usam pacotes spoofados.
  • Implemente a Gerência de Porta 25.

Se sua máquina estiver infectada, tome as seguintes medidas:

  • Use um software antimalware (ou antivírus) – Tais softwares reconhecem e protegem o computador contra os vírus mais conhecidos. Mesmo que o Dorkbot seja projetado para evitar a detecção, as empresas de segurança atualizam diariamente seu software para combater essas ameaças avançadas. Portanto, é de suma importância manter o seu software atualizado. Se suspeitar que você pode ser uma vítima de Dorkbot, atualize as definições de software antivírus e execute uma verificação completa do sistema.
  • Mude suas senhas – Suas senhas originais podem ter sido comprometidas durante a infecção. Altere-as assim que possível.
  • Mantenha seu sistema operacional e aplicativos atualizados – Instale patches de atualização para que os invasores não tirem proveito das vulnerabilidades. Você deve habilitar as atualizações automáticas do sistema operacional.
  • Utilize o Dorkbot Cleaner – A ESET desenvolveu uma ferramenta que ajuda a remover o Dorkbot.
  • Desative o Autorun – O Dorkbot tenta usar a função Windows Autorun para se propagar pelas unidades removíveis (por exemplo, unidade flash USB). Desative a função para a ameaça não se espalhar.

Botnets servem para uma série de atividades nefastas. O acesso às máquinas das vítimas permite a captura de dados valiosos. Controladores de botnets também podem se aproveitar das conexões de suas vítimas para enviar spam e phishing, disseminar programas maliciosos ou hospedar sites para vender produtos ilegais.

No entanto, talvez o maior perigo das botnets seja o DDoS (ataque distribuído de negação de serviço), com fins de extorsão ou de ativismo político.  Elas têm sido as responsáveis por alguns dos incidentes de segurança que trouxeram mais prejuízos nos últimos 10 anos. Logo, a cooperação entre empresas de cibersegurança e agencias governamentais para derrubar as botnets é de fundamental importância.

Para saber mais sobre redes zumbis, assista ao vídeo:

https://www.youtube.com/watch?v=_ldEzqZ4ODs

Outras fontes referência:

  • http://www.scmagazine.com/fbi-interpol-and-microsoft-coordinated-on-dorkbot-takedown/article/458077/
  • http://www.interpol.int/News-and-media/News/2015/N2015-215
  • http://www.welivesecurity.com/2015/12/03/news-from-the-dorkside-dorkbot-botnet-disrupted/
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.