{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreigbp5bgbik7qhykccglevjik6kukt6glnqdjlolkhhufosxsyys6i",
"uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mk6zbh4cegr2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreiclpjrvkwa3hp3oqjtidvr4kubp3u6lhoa7oygmtom7wkncakab7y"
},
"mimeType": "image/jpeg",
"size": 400663
},
"path": "/seguranca/412507-virus-ataca-cameras-de-seguranca-para-aumentar-exercito-robo-do-cibercrime.htm",
"publishedAt": "2026-04-23T20:30:00.000Z",
"site": "https://www.tecmundo.com.br",
"tags": [
"Segurança"
],
"textContent": "Pesquisadores da FortiGuard Labs, divisão de inteligência de ameaças da Fortinet, identificaram um novo malware que sequestra dispositivos de Internet das Coisas (IoT) – como câmeras, babás eletrônicas ou lâmpadas inteligentes. O objetivo é montar redes zumbificadas com os aparelhos infectados, utilizados para desestabilizar sites e serviços em todo o mundo.\n\nBatizado de Nexcorium, o código é uma variante atualizada do Mirai, um dos malwares mais conhecidos entre os utilizados para comprometer dispositivos.\n\n## DVRs de câmeras de segurança são o alvo preferencial\n\nO foco principal da campanha são gravadores de vídeo digital (DVR) usados em sistemas de câmeras de segurança, especificamente os modelos TBK DVR-4104 e DVR-4216. Isso porque esses equipamentos costumam operar sem atualizações regulares e com configurações de segurança fracas, o que os torna mais fáceis de comprometer.\n\nCabeçalho HTTP capturado durante a exploração da CVE-2024-3721 em DVRs TBK. O campo X-Hacked-By: Nexus Team – Exploited By Erratic é a assinatura deixada pelos atacantes nas requisições maliciosas. Imagem: FortiGuard Labs.\n\nA entrada se dá pela exploração da CVE-2024-3721, uma vulnerabilidade de injeção de comandos presente nesses modelos. A falha permite que o invasor execute código malicioso remotamente e mantenha acesso persistente ao dispositivo.\n\nApós a infecção bem-sucedida, o sistema exibe a mensagem \"NexusCorp has taken control\", uma assinatura que atribui a campanha ao grupo Nexus Team. O código também traz a frase \"Nexus Team – Exploited By Erratic\", reforçando a autoria.\n\n## Malware apaga rastros e resiste a reinicializações\n\nVincent Li, pesquisador da FortiGuard Labs, descreveu o Nexcorium como um malware \"multi-arquitetura\", capaz de rodar em diferentes tipos de processadores. Isso amplia o alcance da ameaça, já que dispositivos IoT utilizam uma variedade grande de arquiteturas de hardware.\n\nAnálise do payload ofuscado do Nexcorium no CyberChef, com decodificação XOR usando a chave 0x13. Imagem: FortiGuard Labs.\n\nPara garantir persistência, o malware se copia em múltiplos diretórios do sistema e cria tarefas agendadas que o reativam automaticamente após um reboot. Em seguida, apaga os arquivos originais para dificultar a detecção por ferramentas de segurança.\n\n## Força bruta expande a rede de dispositivos infectados\n\nPara crescer, a botnet tenta infectar outros dispositivos na mesma rede local. O Nexcorium carrega uma lista extensa de senhas padrão, como \"admin123\", \"12345\" e \"guest\", e as testa sistematicamente em roteadores e câmeras conectados. A técnica é basicamente uma varredura automatizada por credenciais fracas ou nunca alteradas pelos administradores.\n\nAlém da CVE-2024-3721, o malware também explora a CVE-2017-17215, uma vulnerabilidade mais antiga. Isso demonstra que a operação foi desenhada para aproveitar brechas já conhecidas e ainda presentes em equipamentos desatualizados.\n\nFunção `self_delete()` identificada no código do Nexcorium. O malware usa `readlink` para localizar seu próprio executável via `/proc/self/exe` e em seguida o remove com `unlink`, apagando rastros da infecção. Imagem: FortiGuard Labs.\n\n## Objetivo final é derrubar serviços com tráfego falso\n\nCom a botnet montada, o grupo lança ataques DDoS (Distributed Denial of Service). Isso porque milhares de dispositivos infectados passam a enviar requisições simultâneas a um alvo, gerando volume de tráfego suficiente para derrubar o serviço.\n\nPara Trey Ford, Chief Strategy and Trust Officer da Bugcrowd, empresa californiana de segurança crowdsourced, o caso ilustra um problema estrutural nas estratégias de defesa corporativa.\n\nSegundo ele, ferramentas automatizadas identificam a existência de uma vulnerabilidade, mas não conseguem prever como um atacante vai encadear, armar e sustentar o acesso depois que o alerta inicial disparar.\n\nTrecho do código descompilado do Nexcorium mostra a chamada à função `attack_start()`, responsável por disparar os ataques DDoS a partir dos dispositivos infectados. Imagem: FortiGuard Labs.\n\n## Como se proteger\n\nFord recomenda que as organizações adotem testes adversariais contínuos que repliquem o comportamento real de atacantes. Isso inclui dispositivos que costumam ficar fora do escopo das avaliações de segurança.\n\nA recomendação prática da FortiGuard Labs é trocar senhas padrão de fábrica e manter o firmware dos dispositivos atualizado são as medidas mais eficazes para reduzir a exposição à campanha.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
"title": "Vírus ataca câmeras de segurança para aumentar 'exército robô' do cibercrime"
}