Após algumas semanas de pesquisa e análises mais aprofundadas, o Sistema Global de Caça a Ameaças da NSFOCUS detectou que um arquivo elfo desconhecido estava se espalhando amplamente, tratando-se de uma nova família de botnets. Com isso, NSFOCUS Security Research Labs nomeou o Trojan botnet como RDDoS.

Os dados do monitoramento mostram que o RDDoS tende a usar o método ICMP_flood para lançar ataques DDoS 24 horas por dia, e quase 80% das atividades são realizadas dessa forma. Entre os países atingidos, estão os Estados Unidos (36%), Brasil (22%) e França (15%).

A principal função do RDDoS é lançar ataques DDoS com a capacidade de executar comandos, o que torna a ameaça ainda mais eficaz. Ele também define parâmetros on-line para distinguir o tipo de dispositivos infectados e, ao mesmo tempo, separa-os de sandboxes reais, caso o pacote on-line tenha parâmetros operacionais. 

A ameaça altera primeiro o diretório de trabalho do processo atual para o diretório raiz durante a operação e, em seguida, cria um subprocesso eficaz e capaz de manter a execução das funções subsequentes.

Existem duas maneiras do terminal controlado ser executado no host vítima, com e sem parâmetros. Diferentes maneiras determinam o conteúdo do pacote online quando ele é lançado pela primeira vez. Presume-se que a intenção do criminoso é fazer um julgamento de acordo com o conteúdo online, sendo que os parâmetros online podem ser usados para distinguir o tipo de dispositivo infectado. 

Além disso, se o pacote online tiver parâmetros corretos, o terminal controlado foi emitido pelo invasor. Caso ele não carregue durante a execução, a string “desconhecida” é inserida no conteúdo online, indicando que o Trojan pode estar em um ambiente sandbox.

No processo de estabelecimento de uma conexão com o terminal de controle, serão unidos os parâmetros da linha de comando como um pacote online. Caso nenhum parâmetro seja transmitido, a string “desconhecida” será emendada.

Após a conclusão da operação on-line, o terminal controlado aguarda uma instrução emitida pelo terminal de controle e avalia as operações subsequentes de acordo com parâmetros como comprimento da instrução e valor do primeiro byte. 

O RDDoS é uma nova família de botnets construída do zero. Recentemente, seus controladores atualizaram e iteraram continuamente o Trojan para adicionar novos métodos de ataque DDoS e melhorar suas funções. Vale ressaltar que também possui uma capacidade de execução de comandos, o que aumenta ainda mais o nível que a ameaça que representa.

Segundo Raphael Tedesco, gerente da NSFOCUS para América Latina, nos últimos anos, tem sido comum que os invasores usem botnets como canais e, em seguida, lancem ataques APT ou Ransomware com base neles. “É importante que todos reforcem a atenção em relação a este tipo de botnet, uma vez que a maioria das famílias de botnets emergentes, embora pareçam ser trojans de aparência extremamente simples, podem ter um fluxo constante de variantes”, reforça.