Em outubro, a equipe da Synthient teve acesso a uma amostra de domínio C2 da botnet, a partir da qual foi possível ver um crescimento vertiginoso: o domínio ficou acima da Google nos rankings globais da Cloudflare, e, por usar a biblioteca wolfSSL, foi nomeada Kimwolf.

Invasões da Kimwolf e seu funcionamento

A botnet em questão mira, principalmente, em aparelhos de TV box, sendo compilada em NDK e equipada com funções de DDoS, encaminhamento de proxy, reverse shell e gerenciamento de arquivos. Os dados sensíveis são encriptados com um Stack XOR, usando DNS sobre TLS para escapar suas comunicações e autenticação dos comandos C2 com assinaturas digitais de curva elíptica.

Versões mais recentes usam, inclusive, EtherHiding para resistir a esforços de desmantelamento através de domínios de blockchain. A partir do domínio analisado, os pesquisadores observaram cerca de 2,7 milhões de IPs interagindo ao longo de três dias, mostrando uma escala de infecção que passa de 1,8 milhões de dispositivos, com infraestrutura global.

Nos últimos dois meses, a botnet cresceu exponencialmente ao explorar redes residenciais, com muitas infecções ligadas à IPIDEA, baseada na China: muitos dispositivos TV box clandestinos já foram vendidos pré-infectados, conectando-se à internet e entrando na rede de bots Kimwolf em questão de minutos. A maior parte das infecções foi vista no Brasil, Índia, Arábia Saudita e Vietnã.

Os cibercriminosos da Kimwolf ainda monetizam as infecções ao vender a instalação de SDKs como ByteConnect nos aparelhos e revender banda larga, além de permitir preenchimento de credenciais em massa. A Synthient sugere que provedores de proxy bloqueiem portas arriscadas e pede que usuários chequem e apaguem ou destruam dispositivos infectados.

Fonte: CanalTech