O Malware “GayFemboy”: Uma Análise de uma Ameaça Focada em Hardware de Rede
Imagine ser infectado por um malware com um nome incomum: “GayFemboy”. Sim, este é um nome real para uma cepa de software malicioso. Vale a pena ter cautela ao procurar mais informações sobre ele, especialmente na forma como o nome é escrito.
Este malware específico é classificado como um botnet que tem como alvo principal hardware de rede, como roteadores de fabricantes como Cisco, TP-Link e outros.
A Origem do Nome
O nome peculiar desta cepa de malware provém da *string* de texto literal que ele envia ao seu servidor de comando e controle (C&C) como um pacote de registro. Essencialmente, o dispositivo infectado envia a mensagem: “Olá, aqui estou eu, sou um novo dispositivo na botnet”, usando literalmente o texto “GayFemboy”.
Os criadores do malware claramente abraçaram o tema. Para quem analisa o código, há elementos curiosos. Por exemplo, quando o malware é executado inicialmente, ele imprime a *string* “twinks”, e a *string* usada para ativar sua funcionalidade de *backdoor* é “meow meow”. Até mesmo os nomes de domínio dos servidores C&C seguem essa linha criativa. Pode-se dizer que é um grande “shitpost” na forma de malware, apesar de ser capaz de causar danos reais.
O Alvo e o Propósito
Felizmente, este malware não visa computadores de mesa. Você não terá que explicar ao seu chefe ou aos seus pais que seu computador foi infectado pelo vírus “GayFemboy”. Em vez disso, o objetivo é adicionar hardware de rede a uma botnet para participar de campanhas de DDoS (*Distributed Denial of Service* – Negação de Serviço Distribuída).
Em um ataque DDoS, os hackers assumem o controle de quantos dispositivos puderem, escondendo-se neles. Quando recebem um comando do servidor C&C central, todos os dispositivos infectados enviam uma onda massiva e contínua de dados para o alvo. Isso sobrecarrega o provedor de hospedagem, resultando na queda do site. Como o tráfego vem de diversos endereços IP legítimos, torna-se muito difícil bloquear e defender-se contra tais ataques. Empresas como a Cloudflare oferecem proteção contra isso, mas ataques DDoS são frequentemente comercializados por hackers.
Base e Evolução
Esta cepa de malware é baseada em uma variante anterior chamada “Mirai”. Ela foi observada pela primeira vez no início do ano passado, mas evoluiu consideravelmente desde então, tornando-se mais avançada.
O malware consegue se infiltrar nesses diferentes dispositivos explorando vulnerabilidades específicas dos fabricantes. Isso significa que não se trata de uma única falha; as vulnerabilidades utilizadas por ele já foram corrigidas no passado. Portanto, a infecção é frequentemente o resultado de empresas que falham em manter seus sistemas atualizados. Além disso, não parece visar um setor de negócios específico; a suposição é que ele simplesmente ataca qualquer roteador vulnerável que encontra.
Processo de Infecção e Funcionalidades
Se um dispositivo for vulnerável, o malware inicialmente consegue executar um comando através da vulnerabilidade para baixar um *script* *downloader*. Em seguida, esse *script* baixa a carga útil principal do malware, que é então executada e se estabelece no sistema.
Ao ser executado, o malware emprega várias táticas:
* **Eliminação de Concorrência:** Ele verifica a presença de outras infecções de malware no sistema e as remove, pois não deseja ter competição.
* **Espera:** Depois, ele permanece inativo, aguardando comandos do servidor C&C.
* **Mineração de Criptomoedas:** Há indícios de que ele também pode possuir funcionalidade de mineração de criptomoedas para gerar receita adicional para seus criadores.
Enquanto está ativo, ele utiliza diversas funções, como a função “Attack” para executar os ataques de negação de serviço. Outra função é a “Monitor”, que detecta se o processo do malware foi interrompido e o reinicia.
Técnicas Anti-Análise
O malware também tenta detectar se está sendo executado dentro de um ambiente virtualizado, como um *sandbox* de análise de malware. O método usado é bastante engenhoso:
1. Ele define um *delay* de 50 nanossegundos (um intervalo de tempo muito pequeno).
2. Em seguida, ele detecta se a máquina em que está rodando é capaz de lidar com um *delay* tão finamente granular.
3. Se o atraso for muito diferente do esperado, ele pode presumir que está em um ambiente virtual e, em vez disso, aplicar um *delay* muito mais longo, de 27 horas. Isso ocorre porque, se for um *sandbox* fazendo análise, é improvável que ele seja executado por um período tão extenso.
Além disso, ele parece verificar a data atual em comparação com a data esperada. Se a data for anterior a um certo ponto, ele se desativa temporariamente. Isso pode ser uma defesa contra *rollbacks*. Se uma empresa descobrir a infecção e reverter o sistema, mas o malware ainda estiver presente, ele se desativará temporariamente para que a empresa pense que o problema foi resolvido, para depois reativar em um momento posterior.
Se você trabalha em um ambiente corporativo, é fundamental garantir que todos os seus equipamentos estejam atualizados. Contudo, para usuários domésticos comuns, esta ameaça específica provavelmente não é uma preocupação imediata.
