Uma nova e avançada variante da botnet **Gafgyt**, chamada **C0XMO**, está explorando ativamente vulnerabilidades no firmware de roteadores **DD-WRT**. Este malware sofisticado demonstra uma notável capacidade de adaptação, visando uma gama diversificada de tipos de dispositivos em múltiplas arquiteturas de CPU, incluindo ARM, MIPS, PowerPC, SuperH, x86 e x86_64. ### Design Modular e Alcance Amplo Pesquisadores da **Fortinet** foram fundamentais na descoberta das capacidades da **C0XMO**. Eles destacaram sua arquitetura modular, um recurso chave que permite aos seus operadores atualizar independentemente as técnicas de exploração, adicionar ou remover arquiteturas visadas e expandir as capacidades de movimento lateral sem alterar o payload principal. Embora tenha sido observada visando uma empresa de tecnologia japonesa, o IP de origem da botnet foi rastreado até um dispositivo na Alemanha, indicando um alcance global potencialmente mais amplo ou uma estrutura operacional complexa. ### Exploração e Capacidades de DDoS A **C0XMO** se propaga principalmente explorando a **CVE-2021-27137**, uma vulnerabilidade crítica de buffer overflow no **DD-WRT**. Essa falha, decorrente de validação insuficiente de entrada do usuário, pode ser explorada sem autenticação para executar código arbitrário em dispositivos vulneráveis. Em sua essência, a **C0XMO** foi projetada para lançar ataques de negação de serviço distribuído (DDoS). Ela suporta um extenso conjunto de 19 métodos de ataque, incluindo floods UDP/TCP/SYN/ICMP, “ping of death”, amplificação NTP/Memcached, floods de voz UDP do Discord e floods específicos da Valve. ### Propagação Avançada e Persistência Para obter uma distribuição mais ampla, a **C0XMO** baixa um script Python que instala pacotes necessários como 'requests', 'paramiko' e 'beautifulsoup4'. Essas ferramentas facilitam a varredura de rede e a comunicação via protocolos SSH e Telnet.  O scanner emprega threads de trabalho para sondar aleatoriamente sistemas voltados para a internet em portas comuns como 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443 e 8888. Ao identificar um alvo, o malware tenta realizar brute-force em credenciais fracas de Telnet e SSH. Uma vez obtido o acesso, ele detecta a arquitetura da CPU e implanta um binário **C0XMO** compatível. O script possui quase duas dezenas de funções para várias tarefas, incluindo varredura, exploração de vulnerabilidades baseadas em HTTP e ADB, detecção de arquitetura de CPU, login SSH/Telnet e verificação de endereço IP, tudo voltado para um movimento lateral robusto dentro das redes. Uma vez que um dispositivo é comprometido, a **C0XMO** se copia para diretórios ocultos como '/tmp/.sys', '/var/tmp/.sys' e '/dev/shm/.sys'. Em seguida, estabelece persistência criando cron jobs para relançá-la a cada 15 minutos e modifica arquivos de inicialização do shell para execução automática. ### Eliminação de Rivais e Comando e Controle Uma característica notável da **C0XMO** é sua varredura ativa por clientes de botnet rivais, ferramentas de red-team, ferramentas de programação e serviços de rede que possam interferir em suas operações. Ao detectá-los, ela encerra esses processos, exclui seus binários e remove seus mecanismos de persistência, incluindo cron jobs, scripts de inicialização, serviços do sistema e entradas de perfil do shell.  Após o comprometimento bem-sucedido e a limpeza, a **C0XMO** se conecta a um endereço de comando e controle (C2) codificado usando um handshake personalizado de múltiplos estágios envolvendo strings mágicas e segredos compartilhados. Em seguida, aguarda comandos, que incluem verificações de heartbeat, início/parada de varreduras e lançamento de ataques DDoS usando qualquer um de seus 19 métodos suportados. ### Avaliação da Fortinet e Recomendações de Defesa A **Fortinet** descreve a **C0XMO** como possuindo "uma arquitetura e conjunto de recursos consideravelmente mais avançados em comparação com botnets de IoT anteriores". Os pesquisadores enfatizam que seu design geral indica "um maior grau de sofisticação operacional e complexidade do que o malware **Gafgyt** típico". Para se defender contra a **C0XMO** e ameaças de botnet semelhantes, profissionais de segurança de TI e usuários são fortemente aconselhados a: * Manter todos os dispositivos, especialmente roteadores e dispositivos IoT, atualizados com o firmware e patches de segurança mais recentes. * Utilizar credenciais administrativas fortes e exclusivas para todos os dispositivos de rede. * Desativar recursos de acesso remoto quando não forem explicitamente necessários.