- Pesquisadores da FortiGuard Labs identificaram o Nexcorium, malware que usa dispositivos IoT para formar uma botnet e ampliar ataques de cibercrime.
- A variante atualizada do Mirai mira principalmente DVRs de segurança, especialmente os modelos TBK DVR-4104 e DVR-4216, por terem proteções fracas e atualizações raras.
- A ameaça explora a vulnerabilidade CVE-2024-3721 para execução de código remoto e persistência; a assinatura de ataque aponta para o grupo Nexus Team.
- O Nexcorium é multi-arquitetura, mantém-se após reinicializações e apaga arquivos originais para dificultar detecção, além de tentar infectar outros dispositivos na mesma rede por meio de senhas padrão.
- O objetivo final é iniciar ataques de DDoS com o tráfego gerado pelos dispositivos comprometidos; recomenda-se trocar senhas de fábrica e manter firmware atualizado para reduzir a exposição.
O malware Nexcorium foi identificado pela FortiGuard Labs como uma variante atualizada do Mirai que sequestra dispositivos de IoT, como câmeras, babás eletrônicas e lâmpadas inteligentes. O objetivo é formar uma botnet para derrubar sites e serviços globais. A operação já está em curso.
O foco principal é em DVRs de câmeras de segurança, especialmente os modelos TBK DVR-4104 e DVR-4216. Esses dispositivos costumam ficar com falhas de atualização e configurações fracas, facilitando a exploração. A campanha utiliza a vulnerabilidade CVE-2024-3721 para injetar comandos remotamente.
Após a infecção, o sistema pode exibir a mensagem NexusCorp has taken control, seguida pela assinatura Nexus Team – Exploited By Erratic, indicando a autoria. O Nexcorium é descrito como multi-arquitetura, capaz de rodar em diferentes tipos de processadores presentes em IoT.
Persistência e evasão
Para manter o controle, o malware se replica em múltiplos diretórios e cria tarefas agendadas que reativam o código após reboot. Em seguida, apaga os arquivos originais para dificultar a detecção por ferramentas de proteção.
Para ampliar a rede, o Nexcorium realiza ataques de força bruta na mesma rede local, utilizando senhas padrão como admin123, 12345 e guest. Além da CVE-2024-3721, o código também explora a CVE-2017-17215, evidenciando uso de falhas conhecidas em equipamentos desatualizados.
Impacto e recomendações
Com a botnet formada, o grupo lança ataques DDoS para sobrecarregar serviços. Especialistas ressaltam que a resposta eficaz depende de medidas preventivas contínuas e de avaliação de vulnerabilidades além do escopo padrão.
Em relação à mitigação, especialistas indicam a troca de senhas padrão e a atualização regular do firmware. A FortiGuard recomenda ainda testes de adversários para simular ataques reais e identificar falhas que escapam de detecção.
Entre na conversa da comunidade