Hackers usam "avô do Discord" para criar exército zumbi em PCs Linux

Uma botnet chamada SSHStalker consegue controlar sistemas Linux usando o Internet Relay Chat (IRC), um protocolo de comunicação em tempo real que permite bate-papos privados ou em grupo.

• O que é IRC?
• Botnet ataca base de dados de criptomoedas através de credenciais criadas por IA

Segundo pesquisadores da empresa de cibersegurança Flare, a operação combina ferramentas furtivas e exploração de vulnerabilidades do Linux com base em exploits no kernel para obter controle do centro de comando dos dispositivos visados.

A ação maliciosa ocorre de maneira automatizada para realizar comprometimento em massa graças à mecânica de botnets vindas do IRC. O objetivo é lançar ataques de negação de serviço distribuídos (DDoS), fazer mineração de criptomoedas e promover proxyjacking. Também foi observado um acesso persistente ao sistema sem que houvesse monitoramento após a exploração.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Ataque generalizado

Os pesquisadores identificaram que o SSHStalker possui um scanner em Golang que vai atrás de servidores com SSH aberto exatamente na porta 22, entrada que fornece por padrão acesso remoto gratuito. Dessa forma, eles invadem o sistema de maneira semelhante a um worm, adicionando variantes de um bot controlado por IRC e derivados que esperam para receber um comando que acione a cadeia de infecção.

Outro ponto é que os ataques promovem uma execução de arquivos de programa em C para apagar registros de conexão SSH. Isso é feito para limpar os vestígios das atividades maliciosas, dificultando a detecção por parte de especialistas.

Também há indicações de que o SSHStalker consegue comprometer o kernel do Linux até mesmo de versões antigas, algumas datadas de 2009. Os hackers possuem ainda um catálogo extenso de malware, além de kits de ferramentas maliciosas de código aberto para implementação nos ataques.

Não se sabe ao certo como a botnet chega até os servidores, mas a suspeita da Flare é que o agente por trás da operação seja de origem romena devido a nomenclaturas e gírias típicas do local que foram encontradas em canais de IRC.

Leia também:

• Relembre 10 programas que fizeram sucesso nos anos 1990 e 2000
• Você faz parte de uma botnet? Descubra com esta ferramenta gratuita
• Botnet Aisuru usa TVs Android hackeadas para disparar maior ataque DDoS do mundo

Fonte: The Hacker News