Pesquisadores de cibersegurança alertam para uma nova botnet chamada RondoDox, que compromete dispositivos DVR da TBK e roteadores da Four-Faith explorando vulnerabilidades conhecidas. As falhas incluem a CVE-2024-3721, uma injeção de comandos nos DVRs TBK-4104 e TBK-4216, e a CVE-2024-12856, que afeta os roteadores Four-Faith F3x24 e F3x36. Esses dispositivos, amplamente utilizados em lojas, armazéns e pequenos escritórios, frequentemente ficam anos sem atualização e expostos à internet por portas mal configuradas, tornando-se alvos fáceis.
Segundo a Fortinet, o malware foi identificado pela primeira vez em setembro de 2024 e consegue mascarar seu tráfego como conexões de jogos e VPNs para evitar detecção. O RondoDox não apenas transforma os dispositivos em nós para ataques DDoS, mas também os usa como proxies furtivos para esconder comunicações C2, realizar fraudes em camadas e reforçar campanhas de DDoS sob demanda. Inicialmente desenvolvido para sistemas Linux em arquiteturas ARM e MIPS, o malware evoluiu para atingir outros ambientes como x86-64, PowerPC e AArch64.
O dropper em shell script desativa sinais de interrupção (SIGINT, SIGQUIT e SIGTERM), verifica diretórios graváveis e instala o RondoDox, que apaga o histórico de comandos e garante persistência após reinicializações. Ele encerra processos de análise (Wireshark, wget, curl) e remove malwares concorrentes como mineradores de criptomoedas.
Além disso, renomeia executáveis críticos (iptables, passwd, reboot) com nomes aleatórios para dificultar a recuperação. Por fim, o malware se conecta a um servidor remoto para receber comandos e realizar ataques DDoS usando protocolos HTTP, UDP e TCP, enquanto disfarça o tráfego imitando serviços como Discord, OpenVPN, WireGuard e jogos populares (Fortnite, GTA, Minecraft). Essa abordagem permite que o RondoDox se integre ao fluxo normal da rede, dificultando a detecção por ferramentas de segurança tradicionais.
