ShellBot utilizza IP esadecimali per eludere il rilevamento negli attacchi ai server SSH Linux
Gli autori delle minacce dietro ShellBot stanno sfruttando gli indirizzi IP trasformati nella loro notazione esadecimale per infiltrarsi nei server SSH Linux mal gestiti e distribuire il malware DDoS.
Come ha affermato l’AhnLab Security Emergency Response Center (ASEC) in un nuovo rapporto pubblicato:
Il flusso complessivo rimane lo stesso, ma l’URL di download utilizzato dall’autore della minaccia per installare ShellBot è cambiato da un normale indirizzo IP a un valore esadecimale
ShellBot, noto anche con il nome PerlBot, è noto per violare i server che hanno credenziali SSH deboli mediante un attacco a dizionario, utilizzando il malware come canale per organizzare attacchi DDoS e fornire computer minatori di criptovaluta.
Sviluppato in Perl, il malware utilizza il protocollo IRC per comunicare con un server di comando e controllo (C2).
È stato scoperto che l’ultima serie di attacchi osservati che coinvolgono ShellBot installano il malware utilizzando indirizzi IP esadecimali – hxxp://0x2763da4e/ che corrisponde a 39.99.218[.]78 – in quello che viene visto come un tentativo di eludere le firme di rilevamento basate su URL.
Come ha affermato l’ASEC:
Grazie all’utilizzo di curl per il download e alla sua capacità di supportare l’esadecimale proprio come i browser web, ShellBot può essere scaricato con successo su un ambiente di sistema Linux ed eseguito tramite Perl
Lo sviluppo è un segno che ShellBot continua a testimoniare un utilizzo costante per lanciare attacchi contro i sistemi Linux.
Poiché ShellBot può essere utilizzato per installare malware aggiuntivo o lanciare diversi tipi di attacchi dal computer compromesso, si consiglia agli utenti di passare a password complesse e di modificarle periodicamente per resistere agli attacchi di forza bruta e a dizionario.
La divulgazione arriva anche quando l’ASEC ha rivelato che gli aggressori stanno utilizzando come arma certificati anomali con stringhe insolitamente lunghe per i campi “Nome soggetto” e “Nome emittente” nel tentativo di distribuire malware per ladri di informazioni come Lumma Stealer e una variante di RedLine Stealer nota come RecordBreaker.
Sempre come ha affermato l’ASEC:
Questi tipi di malware vengono distribuiti tramite pagine dannose facilmente accessibili tramite i motori di ricerca (avvelenamento SEO), rappresentando una minaccia per un’ampia gamma di utenti non specificati. Queste pagine dannose utilizzano principalmente parole chiave correlate a programmi illegali come serial, keygen e crack.
Fonte: https://securityaffairs.com/77722/malware/shellbot-botnet.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
