Pesquisadores em cybersecurity descobriram um módulo malicioso em Go que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade contém funcionalidades para exfiltrar discretamente credenciais para seu criador.
“No primeiro login bem-sucedido, o pacote envia o endereço IP do alvo, nome de usuário e senha para um Telegram bot pré-configurado controlado pelo ator de ameaça”, explicou Kirill Boychenko, pesquisador da Socket.
O pacote enganoso, chamado "golang-random-ip-ssh-bruteforce", foi associado a uma conta no GitHub chamada IllDieAnyway (G3TT), que atualmente não está mais acessível.
No entanto, ele continua disponível no pkg.go[.]dev e foi publicado em 24 de junho de 2022.
A empresa de segurança da cadeia de suprimentos de software informou que o módulo Go funciona escaneando endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22 e, em seguida, tenta realizar brute-force usando uma lista interna de username-password, exfiltrando as credenciais obtidas para o atacante.
Um aspecto notável do malware é que ele desabilita intencionalmente a verificação da chave do host ao configurar "ssh.InsecureIgnoreHostKey" como HostKeyCallback, permitindo que o cliente SSH aceite conexões de qualquer servidor independentemente da identidade.
A wordlist é relativamente simples, incluindo apenas dois usernames, root e admin, combinados com senhas fracas como root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein e Passw@rd.
O código malicioso roda em loop infinito para gerar endereços IPv4, tentando logins SSH concorrentes a partir da wordlist.
Os detalhes são transmitidos a um Telegram bot controlado pelo ator de ameaça, chamado "@sshZXC_bot" (ssh_bot), via API, que confirma o recebimento das credenciais.
As mensagens são então encaminhadas para uma conta com o username "@io_ping" (Gett).
Um snapshot do Internet Archive da conta do GitHub, que foi removida, mostra que o portfólio de software de IllDieAnyway, também conhecido como G3TT, incluía um scanner de portas IP, um parser de informações e mídia de perfis do Instagram, e até um botnet de comando e controle (C2) baseado em PHP chamado Selica-C2.
O canal no YouTube deles, que permanece acessível, contém diversos vídeos curtos sobre "Como hackear um Telegram bot" e o que afirmam ser o "SMS bomber mais poderoso para a Federação Russa", capaz de enviar spam por SMS e mensagens para usuários do VK usando um Telegram bot.
A avaliação é que o ator de ameaça é de origem russa.
“O pacote descarrega o escaneamento e a adivinhação de senhas para operadores desavisados, espalha o risco entre seus IPs e canaliza os sucessos para um único Telegram bot controlado pela ameaça”, explicou Boychenko.
Ele desabilita a verificação da chave do host, executa alta concorrência e finaliza após o primeiro login válido para priorizar a captura rápida.
Como a API do Telegram bot usa HTTPS, o tráfego se assemelha a requisições web normais e pode escapar de controles de saída mais básicos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...