Pesquisadores da FortiGuard Labs, braço de inteligência da Fortinet, identificaram um novo malware voltado para dispositivos de Internet das Coisas (IoT), como câmeras de segurança, babás eletrônicas e lâmpadas inteligentes. A ameaça, chamada Nexcorium, tem como objetivo sequestrar esses aparelhos para formar redes zumbis usadas em ataques cibernéticos contra sites e serviços online.
Essa nova variante evolui a partir do conhecido Mirai e tem como principal alvo gravadores de vídeo digital (DVR), especialmente os modelos TBK DVR-4104 e DVR-4216. Esses dispositivos costumam operar com pouca atualização de segurança e configurações frágeis, o que facilita a invasão. O acesso ocorre por meio da exploração da vulnerabilidade CVE-2024-3721, que permite a execução remota de comandos maliciosos e garante controle persistente do sistema.
Após a infecção, o malware exibe mensagens que indicam autoria do grupo Nexus Team e se mantém ativo mesmo após reinicializações. Para isso, ele se replica em diferentes diretórios e cria tarefas automáticas que reativam o código, além de apagar rastros para dificultar a detecção.
O Nexcorium também se destaca pela capacidade de se adaptar a diferentes arquiteturas de hardware, ampliando seu alcance. Para expandir a rede de dispositivos comprometidos, ele realiza ataques de força bruta, testando listas de senhas padrão em equipamentos conectados à mesma rede. Além da falha mais recente, o malware também explora vulnerabilidades antigas, como a CVE-2017-17215, mostrando que sistemas desatualizados continuam sendo um alvo fácil.
Com a botnet formada, os invasores lançam ataques DDoS, sobrecarregando servidores com tráfego falso até torná-los indisponíveis. Especialistas apontam que esse tipo de ameaça evidencia falhas nas estratégias tradicionais de defesa, que muitas vezes não consideram como os ataques evoluem após a exploração inicial.
Para reduzir os riscos, a recomendação é direta: trocar senhas padrão, manter o firmware atualizado e incluir dispositivos IoT nas estratégias de segurança contínua. Ignorar esses pontos básicos ainda é o principal motivo pelo qual esse tipo de ataque continua funcionando.
