Recentemente, foi observada uma botnet inédita chamada Goldoon direcionando roteadores da D-Link com uma falha crítica de segurança, quase uma década após sua descoberta. A vulnerabilidade em questão, denominada CVE-2015-2051, afeta os roteadores D-Link DIR-645, permitindo que atacantes remotos executem comandos arbitrários por meio de solicitações HTTP especialmente elaboradas.
De acordo com pesquisadores da Fortinet, a exploração da CVE-2015-2051 pode conceder aos invasores controle total sobre os dispositivos comprometidos. Isso possibilita a extração de informações do sistema, o estabelecimento de comunicação com um servidor C2 e o uso desses dispositivos para lançar ataques adicionais, como negação de serviço distribuído (DDoS).
Dados de telemetria de uma empresa de segurança de rede apontam para um aumento significativo na atividade da botnet por volta de 9 de abril de 2024. O processo começa com a exploração da vulnerabilidade para recuperar um script de dropper de um servidor remoto, responsável por baixar a próxima carga útil para diferentes arquiteturas de sistemas Linux.
A carga útil é lançada no dispositivo comprometido e atua como um downloader para o malware Goldoon de um ponto de extremidade remoto. Após a execução do arquivo, o dropper remove o script e se autoexclui na tentativa de encobrir o rastro. Qualquer tentativa de acesso direto ao ponto de extremidade exibe uma mensagem de erro peculiar.