titulo

titulo

Pesquisadores de segurança da Forcepoint dizem que um novo botnet surgiu lentamente em cresceu até conter cerca de 19.000 zumbis ao redor do planeta, mas a predominância é na Ásia. O grupo criminoso possui ligações com os ataques Darkhotel APT.

Chamado de Jaku (em referência ao Star Wars) o botnet fez a maior parte das vítimas em países como o Japão e Coreia do Sul, que conta 73 por cento das infecções. Além disso, os especialistas de segurança dizem que os criminosos infectaram com o Jaku malware cerca de 134 países diferentes, mesmo que por vezes eles comprometessem um ou outro usuário.

Os pesquisadores dizem que os primeiros sinais do botnet surgiram em setembro, e em uma janela de seis meses, o malware cresceu espantosamente se comparado com outras ameaças similares. O grupo por trás do Jaku controla o botnet através de múltiplos servidores de Comando e Controle (C&C), dos quais a maioria está localizada em países da região APAC, como Singapura, Malásia e Tailândia. De forma a permanecer fora da vista, o grupo Jaku empregou três diferentes mecanismos de comando e controle, mas também utilizou bancos de dados SQL ofuscados, client side, para armazenar os arquivos de configuração.

O botnet Jaku pode ser usado para entregar spam, para lançar ataques DDoS, mas também pode implementar outros tipos de malware. Esse processo de segunda etapa de entrega ocorre com a ajuda da esteganografia, que os criminosos usam para ocultar seus códigos maliciosos dentro de arquivos de imagem.

A Forcepoint diz que as infecções geralmente tomam lugar via arquivos com malware compartilhados via BitTorrent. O grupo geralmente vai atrás de alvos de alto valor, mas não se incomoda se outros usuários são infectados também. Os pesquisadores de segurança dizem que o grupo apresentou interesse em organizações não governamentais (ONG) internacionais, instituições acadêmicas, cientistas e funcionários governamentais.

A Forcepoint aponta: “A campanha Jaku possui claras conexões com o TTP usado por atacantes discutidos pela Kaspersky nas investigações do Darkhotel, em novembro de 2014”. O grupo Darkhotel posteriormente ficou conhecido como Dark Seoul, e recentemente foi conectado a hackers na Coreia do Norte, como parte do Grupo Lázaro.

Fonte:

http://news.softpedia.com/news/new-jaku-botnet-already-has-19-000-zombies-ideal-for-spam-and-ddos-attacks-503689.shtml
https://www.helpnetsecurity.com/2016/05/05/jaku-botnet-targeted-attacks/
http://i1-news.softpedia-static.com/images/fitted/340×180/new-jaku-botnet-already-has-19-000-zombies-ideal-for-spam-and-ddos-attacks.jpg
http://news.softpedia.com/news/Darkhotel-Espionage-Group-Targets-Executives-Staying-at-Luxury-Locations-464628.shtml
http://news.softpedia.com/news/dark-seoul-cyber-espionage-group-returns-after-2-years-hiatus-496414.shtml
http://news.softpedia.com/news/group-behind-the-sony-hack-is-more-dangerous-than-previously-thought-500932.shtml
https://www.forcepoint.com/jaku