ShellBot usa IPs Hexadecimais para Evitar Detecção em Ataques a Servidores Linux SSH
13 de Outubro de 2023

Os atores de ameaças por trás do ShellBot estão aproveitando endereços IP transformados em sua notação hexadecimal para infiltrar servidores Linux SSH mal gerenciados e implantar o malware DDoS.

"O fluxo geral permanece o mesmo, mas a URL de download usada pelo ator de ameaças para instalar o ShellBot mudou de um endereço IP regular para um valor hexadecimal", disse o AhnLab Security Emergency response Center (ASEC) em um novo relatório publicado hoje.

O ShellBot, também conhecido pelo nome PerlBot, é conhecido por violar servidores que possuem credenciais SSH fracas por meio de um ataque de dicionário, com o malware usado como um conduto para realizar ataques DDoS e entregar mineradores de criptomoedas.



Desenvolvido em Perl, o malware usa o protocolo IRC para se comunicar com um servidor de comando e controle (C2).

O último conjunto de ataques observados envolvendo o ShellBot foi encontrado para instalar o malware usando endereços IP hexadecimais - hxxp://0x2763da4e/ que corresponde a 39.99.218[.]78 - no que é visto como uma tentativa de evitar assinaturas de detecção baseadas em URL.

"Devido ao uso do curl para o download e sua capacidade de suportar hexadecimal assim como os navegadores web, o ShellBot pode ser baixado com sucesso em um ambiente de sistema Linux e executado através do Perl", disse a ASEC.

O desenvolvimento é um sinal de que o ShellBot continua a ser usado constantemente para lançar ataques contra sistemas Linux.

Como o ShellBot é capaz de ser usado para instalar malware adicional ou lançar diferentes tipos de ataques a partir do servidor comprometido, é recomendado que os usuários mudem para senhas fortes e as alterem periodicamente para resistir a ataques de força bruta e ataques de dicionário.

A divulgação também surge quando a ASEC revelou que os invasores estão armando certificados anormais com sequências anormalmente longas para os campos Nome do Assunto e Nome do Emissor em uma tentativa de distribuir malware de roubo de informações, como o Lumma Stealer e uma variante do RedLine Stealer conhecida como RecordBreaker.

"Esses tipos de malware são distribuídos por meio de páginas maliciosas que são facilmente acessíveis através de motores de busca (SEO poisoning), representando uma ameaça para uma ampla gama de usuários não especificados", disse a ASEC.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...