Botnet C0XMO Ataca Roteadores com Firmware DD-WRT Utilizando Exploit Antigo
Especialistas em cibersegurança alertam sobre o C0XMO, uma nova variante da botnet Gafgyt que explora uma vulnerabilidade conhecida em roteadores DD-WRT para lançar ataques DDoS. A botnet demonstra uma arquitetura modular avançada e capacidade de eliminar concorrentes.
MundiX News·09 de junho de 2026·6 min de leitura·👁 8 views
Especialistas da Fortinet emitiram um alerta sobre uma nova variante da botnet Gafgyt, denominada C0XMO. Esta malícia tem como alvo principal roteadores que utilizam o firmware DD-WRT, mas pesquisadores também identificaram versões compatíveis com diversas arquiteturas, incluindo ARM, MIPS, PowerPC, SuperH, x86 e x86_64.
A principal característica distintiva do C0XMO, segundo os especialistas, é sua arquitetura modular. Essa abordagem permite que os operadores da malícia atualizem os mecanismos de exploração de vulnerabilidades, adicionem suporte a novas arquiteturas e expandam as capacidades do malware sem a necessidade de alterar a carga útil (payload) principal. Essa flexibilidade confere ao C0XMO uma vantagem significativa em termos de adaptabilidade e longevidade.
Assim como outros membros da família Gafgyt, a nova botnet é projetada para executar ataques de Negação de Serviço Distribuída (DDoS). O C0XMO possui um arsenal com 19 métodos distintos para realizar tais ataques, incluindo UDP flood, TCP flood, SYN flood e ICMP flood. Além disso, emprega técnicas como Ping of Death, ataques de amplificação via NTP e Memcached, e métodos específicos voltados para serviços de jogos da Valve e a plataforma Discord. Relatos recentes indicam que esta botnet já foi utilizada em ataques contra uma empresa de tecnologia não especificada no Japão.
Para infectar os roteadores, o malware explora uma vulnerabilidade antiga, identificada como CVE-2021-27137, presente no DD-WRT. Essa falha está relacionada a um buffer overflow causado pelo processamento incorreto de entradas do usuário, permitindo a execução de código arbitrário sem a necessidade de autenticação. Uma vez que a exploração é bem-sucedida, o C0XMO baixa um script em Python que instala bibliotecas adicionais essenciais para a varredura de rede e a comunicação via SSH e Telnet.
Após a instalação, o malware inicia a busca por novas vítimas, varrendo endereços IP na internet e testando portas comumente utilizadas, como 22, 23, 80, 443, 7547, 8080, 8443 e 8888. Ao encontrar um alvo potencial, o C0XMO tenta adivinhar as credenciais de acesso para SSH ou Telnet. Em seguida, determina a arquitetura do dispositivo comprometido e baixa o binário correspondente. Os pesquisadores observaram que o script do C0XMO contém aproximadamente vinte funções dedicadas à identificação e exploração de diversas falhas, determinação da arquitetura e verificação da disponibilidade dos nós.
Para garantir sua persistência no sistema, o malware se copia para diretórios ocultos, como /tmp/.sys, /var/tmp/.sys e /dev/shm/.sys. Posteriormente, cria tarefas agendadas (cron jobs) que reiniciam o processo a cada 15 minutos. Adicionalmente, o C0XMO modifica os scripts de inicialização do shell para assegurar que o malware seja executado automaticamente após cada reinicialização do sistema.
Outra característica notável do C0XMO é sua capacidade de combater a concorrência. Após infectar um dispositivo, o malware verifica a lista de processos em execução em busca de clientes de outras botnets, ferramentas de pentest ou serviços que possam interferir em suas operações. Todos os processos identificados são encerrados, e os binários e mecanismos de persistência associados são eliminados.
Finalmente, o malware estabelece comunicação com um servidor de comando e controle (C2) utilizando um endereço codificado e um mecanismo de autenticação em várias etapas. Uma vez conectado, o C0XMO entra em modo de espera por comandos. Os operadores do C0XMO podem, a partir daí, iniciar novas varreduras, gerenciar os sistemas infectados e orquestrar ataques DDoS utilizando qualquer um dos métodos disponíveis.
A Fortinet destaca que, em comparação com botnets de IoT de anos anteriores, a arquitetura do C0XMO demonstra um nível de maturidade e planejamento superior, destacando-se significativamente entre os demais representantes da família Gafgyt.
Especialistas da Fortinet emitiram um alerta sobre uma nova variante da botnet Gafgyt, denominada C0XMO. Esta malícia tem como alvo principal roteadores que utilizam o firmware DD-WRT, mas pesquisadores também identificaram versões compatíveis com diversas arquiteturas, incluindo ARM, MIPS, PowerPC, SuperH, x86 e x86_64.
A principal característica distintiva do C0XMO, segundo os especialistas, é sua arquitetura modular. Essa abordagem permite que os operadores da malícia atualizem os mecanismos de exploração de vulnerabilidades, adicionem suporte a novas arquiteturas e expandam as capacidades do malware sem a necessidade de alterar a carga útil (payload) principal. Essa flexibilidade confere ao C0XMO uma vantagem significativa em termos de adaptabilidade e longevidade.
Assim como outros membros da família Gafgyt, a nova botnet é projetada para executar ataques de Negação de Serviço Distribuída (DDoS). O C0XMO possui um arsenal com 19 métodos distintos para realizar tais ataques, incluindo UDP flood, TCP flood, SYN flood e ICMP flood. Além disso, emprega técnicas como Ping of Death, ataques de amplificação via NTP e Memcached, e métodos específicos voltados para serviços de jogos da Valve e a plataforma Discord. Relatos recentes indicam que esta botnet já foi utilizada em ataques contra uma empresa de tecnologia não especificada no Japão.
Para infectar os roteadores, o malware explora uma vulnerabilidade antiga, identificada como CVE-2021-27137, presente no DD-WRT. Essa falha está relacionada a um buffer overflow causado pelo processamento incorreto de entradas do usuário, permitindo a execução de código arbitrário sem a necessidade de autenticação. Uma vez que a exploração é bem-sucedida, o C0XMO baixa um script em Python que instala bibliotecas adicionais essenciais para a varredura de rede e a comunicação via SSH e Telnet.
Após a instalação, o malware inicia a busca por novas vítimas, varrendo endereços IP na internet e testando portas comumente utilizadas, como 22, 23, 80, 443, 7547, 8080, 8443 e 8888. Ao encontrar um alvo potencial, o C0XMO tenta adivinhar as credenciais de acesso para SSH ou Telnet. Em seguida, determina a arquitetura do dispositivo comprometido e baixa o binário correspondente. Os pesquisadores observaram que o script do C0XMO contém aproximadamente vinte funções dedicadas à identificação e exploração de diversas falhas, determinação da arquitetura e verificação da disponibilidade dos nós.
Para garantir sua persistência no sistema, o malware se copia para diretórios ocultos, como /tmp/.sys, /var/tmp/.sys e /dev/shm/.sys. Posteriormente, cria tarefas agendadas (cron jobs) que reiniciam o processo a cada 15 minutos. Adicionalmente, o C0XMO modifica os scripts de inicialização do shell para assegurar que o malware seja executado automaticamente após cada reinicialização do sistema.
Outra característica notável do C0XMO é sua capacidade de combater a concorrência. Após infectar um dispositivo, o malware verifica a lista de processos em execução em busca de clientes de outras botnets, ferramentas de pentest ou serviços que possam interferir em suas operações. Todos os processos identificados são encerrados, e os binários e mecanismos de persistência associados são eliminados.
Finalmente, o malware estabelece comunicação com um servidor de comando e controle (C2) utilizando um endereço codificado e um mecanismo de autenticação em várias etapas. Uma vez conectado, o C0XMO entra em modo de espera por comandos. Os operadores do C0XMO podem, a partir daí, iniciar novas varreduras, gerenciar os sistemas infectados e orquestrar ataques DDoS utilizando qualquer um dos métodos disponíveis.
A Fortinet destaca que, em comparação com botnets de IoT de anos anteriores, a arquitetura do C0XMO demonstra um nível de maturidade e planejamento superior, destacando-se significativamente entre os demais representantes da família Gafgyt.
