Uma vasta operação cibernética, liderada por um grupo criminoso identificado como Bigpanzi, tem colocado em xeque a segurança de dispositivos de streaming no Brasil. O referido grupo de cibercriminosos criaram uma botnet que leva o mesmo nome do grupo, ou seja, “Bigpanzi”.
Esta botnet já comprometeu mais de 170 mil TV Boxes no país, segundo relatórios da Qianxin Xlabs e informações divulgadas pelo Bleeping Computer. Nos próximos parágrafos eu trago mais detalhes sobre esta botnet que atua de forma intensa no Brasil.
Leia também
O que é uma botnet?
Segurança digital: quais são os riscos de usar TV box não homologada?
Como a BigPanzi funciona?
O modus operandi da Bigpanzi consiste na infecção de TV Boxes que operam com sistemas Android TV e eCos, por meio de atualizações de firmware maliciosas ou aplicativos comprometidos.
Os usuários, sem saber, instalam esses softwares corrompidos, abrindo as portas de seus dispositivos para o controle remoto dos cibercriminosos. Esta técnica foi detalhadamente descrita em um relatório de setembro de 2023 da Dr. Web.
Os criminosos monetizam essa invasão transformando os dispositivos infectados em nós para plataformas ilegais de streaming de mídia, redes de proxy de tráfego, ondas de ataques de negação de serviço (DDoS) e provisão de conteúdo OTT. Além disso, utilizam malwares como “pandoraspear” e “pcdn“, as quais possuem capacidades avançadas de controle e disseminação de ataques.
Malwares poderosos
O malware Pandoraspear, em particular, atua como um trojan de backdoor, sequestrando configurações de DNS, estabelecendo comunicação de comando e controle (C2) e executando comandos recebidos do servidor C2.
Este malware suporta uma variedade de comandos, permitindo manipulação de configurações de DNS, iniciação de ataques DDoS, atualizações automáticas, criação de shells reversos, gerenciamento de comunicação com o C2 e execução de comandos do sistema operacional arbitrário. Para evitar detecção, utiliza técnicas sofisticadas como UPX shell modificado, compilação OLLVM e mecanismos anti-debugging.
O vírus Pcdn, por outro lado, é usado para construir uma Rede de Distribuição de Conteúdo (CDN) peer-to-peer em dispositivos infectados e também possui capacidades de realizar ataques DDoS.
A escalada da botnet BigPanzi
A escala de operações da Bigpanzi foi revelada após a Qianxin Xlabs (um laboratório de pesquisa chinês) sequestrar dois domínios C2 usados pelos hackers e conduzir uma observação de sete dias.
A botnet da Bigpanzi registra 170 mil bots ativos diariamente nos momentos de pico, e mais de 1.3 milhão de IPs distintos foram observados desde agosto, a maioria no Brasil. No entanto, devido à natureza intermitente da atividade dos dispositivos comprometidos e às limitações de visibilidade dos analistas de cibersegurança, estima-se que o tamanho real da botnet seja ainda maior.
De qualquer forma, os números revelados, por mais que não demonstrem a dimensão real desta botnet, já assustam pelo seu tamanho. Os analistas da Qianxin XLabs também conseguiram rastrear a origem dos números IPs. A grande maioria das TV Boxes infectadas está no estado de São Paulo. Mas há aparelhos também no Rio de Janeiro, Paraná, Santa Catarina, Amazonas, Tocantins, Paraíba, Alagoas e Sergipe.
O que é uma botnet?
Uma “botnet”, termo derivado da junção de “robot” e “network” (rede, em português), é uma rede de dispositivos eletrônicos conectados à internet que foram infectados por malwares e estão sob o controle de um agente mal-intencionado.
Imagine um exército de zumbis: cada dispositivo infectado, seja um computador, um smartphone ou, como no caso da Bigpanzi, uma TV Box, funciona como um “zumbi” digital. Esses dispositivos, apesar de continuarem a funcionar normalmente para seus usuários, operam secretamente sob as ordens de um “comandante” remoto – o cibercriminoso.
Este controlador pode enviar comandos para realizar diversas atividades maliciosas, como enviar spam, roubar dados, realizar ataques DDoS, entre outros. A gravidade dessas ações varia, mas todas representam ameaças significativas à segurança dos usuários.
Um aspecto alarmante das botnets é que elas podem crescer exponencialmente. Uma vez que um dispositivo é infectado, ele pode ser usado para infectar outros, ampliando a rede de dispositivos comprometidos. É como um zumbi mesmo. Se ele morder alguém, essa pessoa também vira um zumbi.
Essa rápida disseminação torna as botnets particularmente perigosas e difíceis de combater. Para os usuários, a prevenção passa por medidas básicas de segurança, como manter softwares atualizados, não clicar em links suspeitos, usar programas de segurança confiáveis e evitar a pirataria.
Fonte: Bleeping Computer e Qianxin Xlabs
Veja também
Sobre o Autor
Deixe seu comentário