Após extensa pesquisa e análises, o Sistema Global de Caça a Ameaças da NSFOCUS identificou a propagação generalizada de um arquivo elfo até então desconhecido, revelando-se uma nova família de botnets. Denominado RDDoS pelos NSFOCUS Security Research Labs, o Trojan botnet exibe uma tendência notável para empregar o método ICMP_flood, lançando ataques DDoS ininterruptos, sendo aproximadamente 80% das atividades conduzidas por esse meio. Os principais países afetados incluem os Estados Unidos (36%), Brasil (22%) e França (15%).
A principal característica do RDDoS é sua capacidade de executar comandos durante ataques DDoS, aumentando significativamente a eficácia da ameaça. O Trojan também estabelece parâmetros online para distinguir dispositivos infectados e se protege contra ambientes sandbox, alterando o diretório de trabalho do processo e criando subprocessos eficazes.
O terminal controlado pode ser executado no host vítima de duas maneiras, com ou sem parâmetros, influenciando o conteúdo do pacote online. A ameaça presume-se que o criminoso julgue o tipo de dispositivo infectado com base nos parâmetros online. Adicionalmente, se o pacote online possuir parâmetros corretos, presume-se que seja emitido pelo invasor, enquanto a ausência de carga durante a execução insere a string “desconhecida”, indicando possível ambiente sandbox.
Durante a conexão com o terminal de controle, os parâmetros da linha de comando são consolidados como um pacote online. Após a operação online, o terminal controlado espera instruções do terminal de controle, avaliando as operações subsequentes com base em parâmetros como comprimento da instrução e valor do primeiro byte.
O RDDoS, uma nova família de botnets construída do zero, tem sido alvo de atualizações contínuas por parte de seus controladores, incorporando novos métodos de ataque DDoS e aprimorando suas funções. Raphael Tedesco, gerente da NSFOCUS para a América Latina, destaca a importância de estar atento a essa categoria de botnets, considerando que muitas famílias emergentes, apesar de sua aparente simplicidade, podem apresentar um fluxo constante de variantes.
