Malware XorDDoS mira Linux, Docker e IoT com nova estrutura de controle

Pesquisadores estão alertando sobre os riscos representados pelo XorDDoS, um malware usado em ataques distribuídos de negação de serviço (DDoS). Entre novembro de 2023 e fevereiro de 2025, cerca de 71,3% das tentativas de ataque com esse malware tiveram como alvo os Estados Unidos.

De acordo com Joey Chen, pesquisador da Cisco Talos, "de 2020 a 2023, o trojan XorDDoS apresentou um crescimento significativo em sua atuação". Esse aumento se deve tanto à ampla disseminação global do malware quanto ao aumento nas requisições DNS maliciosas associadas à sua infraestrutura de comando e controle (C2). Inicialmente focado em sistemas Linux expostos, o XorDDoS agora também tem como alvo servidores Docker, transformando os dispositivos infectados em bots para ataques coordenados.

Atualmente, cerca de 42% dos dispositivos comprometidos estão localizados nos EUA, seguidos por Japão, Canadá, Dinamarca, Itália, Marrocos e China. O XorDDoS é um malware já conhecido, com histórico de ataques a sistemas Linux há mais de uma década. Em maio de 2022, a Microsoft já havia alertado para um aumento nas infecções, que também abriram caminho para outros malwares como o minerador de criptomoedas Tsunami.

O vetor principal de infecção continua sendo ataques de força bruta via SSH, em que os invasores tentam descobrir credenciais válidas para então baixar e instalar o malware em dispositivos IoT e outros sistemas conectados à internet. Após comprometer o sistema, o malware estabelece persistência por meio de scripts de inicialização e tarefas agendadas (cron jobs), garantindo sua execução a cada reinicialização. Ele também utiliza a chave XOR "BB2FA36AAA9541F0" para descriptografar suas próprias configurações e obter os endereços IP usados na comunicação com os servidores de controle.

Em 2024, a Cisco Talos identificou uma nova versão do subcontrolador do XorDDoS, conhecida como "versão VIP", além de um controlador central e uma ferramenta de criação do malware (builder), o que indica que essa infraestrutura pode estar sendo comercializada. O controlador central gerencia vários subcontroladores do XorDDoS e envia comandos de DDoS para todos eles ao mesmo tempo. Cada subcontrolador, por sua vez, controla sua própria botnet de dispositivos infectados.

Chen acrescenta que as configurações de idioma presentes no sistema de controle em múltiplas camadas, na ferramenta de criação e no utilitário de vinculação de controladores sugerem fortemente que os operadores por trás do XorDDoS são indivíduos de língua chinesa.

Via - THN