Os atores de ameaças por trás do ShellBot estão aproveitando endereços IP transformados em sua notação hexadecimal para infiltrar servidores Linux SSH mal gerenciados e implantar o malware DDoS.
"O fluxo geral permanece o mesmo, mas a URL de download usada pelo ator de ameaças para instalar o ShellBot mudou de um endereço IP regular para um valor hexadecimal", disse o AhnLab Security Emergency response Center (ASEC) em um novo relatório publicado hoje.
O ShellBot, também conhecido pelo nome PerlBot, é conhecido por violar servidores que possuem credenciais SSH fracas por meio de um ataque de dicionário, com o malware usado como um conduto para realizar ataques DDoS e entregar mineradores de criptomoedas.
Desenvolvido em Perl, o malware usa o protocolo IRC para se comunicar com um servidor de comando e controle (C2).
O último conjunto de ataques observados envolvendo o ShellBot foi encontrado para instalar o malware usando endereços IP hexadecimais - hxxp://0x2763da4e/ que corresponde a 39.99.218[.]78 - no que é visto como uma tentativa de evitar assinaturas de detecção baseadas em URL.
"Devido ao uso do curl para o download e sua capacidade de suportar hexadecimal assim como os navegadores web, o ShellBot pode ser baixado com sucesso em um ambiente de sistema Linux e executado através do Perl", disse a ASEC.
O desenvolvimento é um sinal de que o ShellBot continua a ser usado constantemente para lançar ataques contra sistemas Linux.
Como o ShellBot é capaz de ser usado para instalar malware adicional ou lançar diferentes tipos de ataques a partir do servidor comprometido, é recomendado que os usuários mudem para senhas fortes e as alterem periodicamente para resistir a ataques de força bruta e ataques de dicionário.
A divulgação também surge quando a ASEC revelou que os invasores estão armando certificados anormais com sequências anormalmente longas para os campos Nome do Assunto e Nome do Emissor em uma tentativa de distribuir malware de roubo de informações, como o Lumma Stealer e uma variante do RedLine Stealer conhecida como RecordBreaker.
"Esses tipos de malware são distribuídos por meio de páginas maliciosas que são facilmente acessíveis através de motores de busca (SEO poisoning), representando uma ameaça para uma ampla gama de usuários não especificados", disse a ASEC.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...