Investigadores invalidaram milhares de backdoors com domínios expirados

Investigadores de cibersegurança tomaram controlo de mais de 4.000 backdoors activos ao registarem domínios expirados usados para os comandar.

Já temos visto casos em que hackers se apoderam de domínios legítimos expirados como forma de enganar as vítimas, mas desta vez temos precisamente o oposto.

Em parceria com a The Shadowserver Foundation, a WatchTowr Labs identificou e neutralizou milhares de backdoors encontrados em servidores comprometidos de redes governamentais e universitárias, ao adquirir os domínios expirados que eram usados para o seu controlo. Com os domínios assegurados, a equipa configurou um sistema de monitorização que analisou as comunicações de sistemas infectados, permitindo identificar algumas das vítimas. Foram registados mais de 40 domínios foram registados, que revelaram milhares de sistemas comprometidos que repetidamente tentavam comunica com a infraestrutura de comando.

Os backdoors incluíam malware conhecido como o r57shell, c99shell e China Chopper, associados a grupos de ameaças avançados. Entre os sistemas comprometidos encontravam-se redes governamentais da China, Nigéria e Bangladesh, bem como instituições de ensino na Tailândia, China e Coreia do Sul.

Para evitar que estes domínios voltem a cair em mãos maliciosas, a WatchTowr entregou-os à Shadowserver, que agora está a reter todo o tráfego enviado por sistemas infectados, assegurando que o mesmo não poderá ser recuperado pelos atacantes iniciais. Fica a curiosidade para saber o que terá levado estes grupos a deixarem expirar estes domínios, já que é pouco provável que tal tenha acontecido meramente por "esquecimento".