Novo bot de DDoS IRC se espalha pela coreana WebHard

As táticas de ataque

Os pesquisadores observaram que os invasores estão distribuindo o malware por meio de sites de compartilhamento de arquivos, como o coreano WebHards.

• Primeiro, os jogos com malware são enviados para webhards (um tipo de serviço de hospedagem de arquivos remoto) na forma de arquivos ZIP compactados.
• Se aberto, um executável (Game_Open[.]exe) é preparado para executar uma carga de malware, ao iniciar o jogo real.

Como funciona?

O bot DDoS IRC é instalado por meio de um downloader (desenvolvido em GoLang), UDP RAT, e usa um Simple-IRC-Botnet de código aberto lançado publicamente .

• O malware usa protocolos IRC para se comunicar com o servidor C2. Ele se conecta a um servidor de IRC específico durante a execução e insere o canal do invasor. Ele pode realizar ataques DDoS em um alvo se os comandos forem enviados do canal.
• Enquanto o UDP RAT suporta apenas ataques UDP Flooding, este suporta ataques adicionais como Hulk DDoS, Slowloris e Goldeneye.

Conclusão

O bot DDoS IRC é novo e não está amplamente difundido no momento. No entanto, ainda está sendo divulgado ativamente por meio de webhards coreanos, indicando uma seleção específica de possíveis vítimas. Recomenda-se ficar alerta ao baixar arquivos de um site de compartilhamento de arquivos e usar fontes oficiais para download.

Fonte: https://cyware.com/