Pesquisadores de segurança descobriram uma sofisticada campanha de malware Linux que combina recursos de botnet DDoS derivados do Mirai com um criptominerador furtivo sem arquivo, representando uma evolução significativa em IoT e ameaças direcionadas à nuvem.
O malware, batizado de V3G4 pela Cyble Research Intelligence Labs, emprega uma cadeia de infecção de vários estágios projetada para comprometer servidores Linux e dispositivos IoT em múltiplas arquiteturas, mantendo acesso persistente tanto para ataques de negação de serviço quanto para operações de mineração de criptomoedas.
Essa abordagem híbrida permite que os agentes de ameaças maximizem os retornos financeiros, aproveitando dispositivos infectados para finalidades duplas simultaneamente, criando um fluxo de receita resiliente que continua evoluindo com novas técnicas, vetores de ataque e métodos de evasão.
O ataque começa com um script de shell compacto chamado Universal Bot Downloader que identifica automaticamente a arquitetura da CPU do sistema vítima usando o comando uname -m.
Com base na arquitetura detectada – com suporte para variantes x86_64, ARM64, ARM7, ARM5, MIPS e MIPSEL – o script constrói um URL de download personalizado e busca o binário do bot apropriado do servidor controlado pelo invasor em 103.149.93.224.
A carga útil é gravada no diretório /tmp, recebe permissões executáveis via chmod e é iniciada imediatamente, seguindo padrões clássicos de implantação de botnet IoT que priorizam velocidade e ampla compatibilidade em diversos ambientes Linux.
Script do Universal Bot Downloader (Fonte – Cyble)
Uma vez executado, o binário compactado e despojado de UPX reúne informações do sistema por meio de reconhecimento de ambiente, verificando detalhes do kernel e limites de processo para determinar parâmetros operacionais.
Os analistas de segurança da Cyble observaram que o malware imprime um banner de assinatura “xXxSlicexXxxVEGA” no stdout, correspondendo aos padrões comportamentais das cepas V3G4-Mirai documentadas anteriormente em infecções na nuvem.
O bot então entra no modo furtivo tentando se disfarçar como o daemon legítimo do systemd-logind por meio de chamadas de sistema prctl, fecha fluxos de E/S padrão e se desconecta do terminal de controle usando setsid para eliminar o rastreamento visível do processo e evitar completamente suspeitas.
Reconhecimento ambiental (Fonte – Cyble)
O malware estabelece uma infraestrutura sofisticada de comando e controle que combina varredura bruta de soquete TCP com resiliência baseada em DNS.
Vários threads de trabalho executam simultaneamente a pulverização de pacotes SYN de alta velocidade na porta 22 na Internet, permitindo a rápida propagação de força bruta SSH para novas vítimas.
Pacotes TCP SYN inundando a porta SSH (Fonte – Cyble)
Ao mesmo tempo, o bot realiza consultas DNS multithread no servidor DNS público do Google (8.8.8.8) para resolver o domínio C2 baojunwakuang.asia, que mapeia para 159.75.47.123 e serve comandos de botnet e configuração de minerador por meio de portas não padrão, como 60194, para maior furtividade.
Mecanismo de infecção e arquitetura furtiva
A carga útil do terceiro estágio implanta um minerador Monero baseado em XMRig que exemplifica o foco da campanha na evasão de detecção.
Em vez de incorporar arquivos de configuração estáticos, o malware busca parâmetros de mineração dinamicamente no servidor C2 em tempo de execução.
O carregador disfarça o minerador como /tmp/.dbus-daemon para se misturar com processos legítimos e solicitar dados de configuração via TCP, recebendo um blob JSON contendo endereços de carteira, URLs de pool e configurações de algoritmo sem criar artefatos no disco.
Configuração capturada do criptominerador (Fonte – Cyble)
Essa abordagem sem arquivo permite que os operadores alternem os parâmetros de mineração em tempo real, dificultando a análise forense.
A combinação de processos mascarados, verificação de soquete bruto e entrega de configuração dinâmica demonstra como as botnets modernas maximizam a furtividade e a monetização em ambientes Linux comprometidos.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
