Prometei Botnet infecta mais de 10.000 servidores Exchange

Uma versão atualizada de um malware botnet chamado Prometei infectou mais de 10.000 sistemas em todo o mundo desde novembro de 2022. As infecções são geograficamente indiscriminadas e oportunistas, com a maioria das vítimas relatadas no Brasil, Indonésia e Turquia.

O Prometei, observado pela primeira vez em 2016, é um botnet modular que apresenta um grande repertório de componentes e vários métodos de proliferação, alguns dos quais também incluem a exploração de falhas do ProxyLogon Microsoft Exchange Server.

A variante mais recente do Prometei (chamada v3) aprimora seus recursos existentes para desafiar a análise forense e aprofundar ainda mais seu acesso às máquinas vítimas.

A sequência de ataque ocorre da seguinte forma: ao obter uma posição bem-sucedida, um comando do PowerShell é executado para baixar o malware botnet de um servidor remoto.

O módulo principal do Prometei é então usado para recuperar a carga real de mineração de criptografia e outros componentes auxiliares no sistema.

Alguns desses módulos de suporte funcionam como programas de propagação projetados para propagar o malware por meio do Remote Desktop Protocol (RDP), Secure Shell (SSH) e Server Message Block (SMB).