Los investigadores de ciberseguridad han descubierto un módulo GO malicioso que presenta su estado como una herramienta de fuerza bruta para SSH, pero en realidad incluye la capacidad de eliminar cuidadosamente las credenciales de sus creadores.
«En el primer inicio de sesión exitoso, el paquete envía la dirección IP de destino, el nombre de usuario y la contraseña a un bot de telegrama codificado controlado por el actor de amenazas», dijo el investigador de Socket Kirill Boychenko.
El paquete engañoso llamado «Golang-Random-IP-SSH-BRUTEFORCE» está vinculado a una cuenta de GitHub llamada Illdieanyway (G3TT) que actualmente es inaccesible. Sin embargo, todavía está disponible en PKG.GO (.) Dev. Fue lanzado el 24 de junio de 2022.
La compañía de seguridad de la cadena de suministro de software dijo que el módulo GO funciona escaneando direcciones IPv4 aleatorias de los servicios SSH disponibles públicamente en el puerto TCP 22, la fuerza bruta el servicio utilizando una lista de contraseñas de nombre de usuario incorporada y eliminando credenciales exitosas al atacante.
Un aspecto notable del malware es que al configurar «ssh.insecureignorehostkey» como KeyCallback de hostsback, deshabilita intencionalmente la verificación de la clave del host, lo que permite al cliente SSH aceptar conexiones de cualquier servidor, independientemente de la identidad.
La lista de palabras es bastante simple, con solo dos rutas de nombre de usuario y un administrador. También combina contraseñas débiles como root, prueba, contraseña, administrador, 12345678, 1234, Qwerty, WebAdmin, Webmaster, TechSupport, LetMein, Passw@Rd.
El código malicioso se ejecuta en un bucle infinito para generar una dirección IPv4, y el paquete intenta inicios de sesión SSH simultáneos desde la lista de palabras.
Los detalles se enviarán a través de la API a un bot de telegrama controlado por el actor de amenaza llamado «@sshzxc_bot» (ssh_bot) para permitir la recepción de credenciales. El mensaje se envía a la cuenta a través del bot usando el identificador «@io_ping» (gett).
Las instantáneas de Archive de Internet del Archivo de GitHub actualmente muestran que la cartera de software de G3TT (también conocida como cartera de software de G3TT) incluye un escáner de puerto IP, información de perfil de Instagram y analizador de medios, así como una botnet de comando y control (C2) basado en PHP (C2) llamado Selica-C2.
Su canal de YouTube sigue siendo accesible y alberga una variedad de videos de forma corta que afirman ser «cómo hackear un bot de telegrama» y «el bombardero SMS más poderoso de la Federación de Rusia». El líder de la amenaza está calificado como origen ruso.
«Este paquete infiere escaneos y conjeturas de contraseña a los operadores inconscientes, difunde los riesgos en el IPS y filtra el éxito a un bot de telegrama controlado por actores de amenaza única», dice Boychenko.
«Deshabilita la verificación de la clave del host, impulsa una alta concurrencia después del primer inicio de sesión habilitado y prioriza la captura rápida. Como Telegrambotapi usa HTTPS, el tráfico parece una solicitud web normal y puede pasar a través de controles de salida gruesos».
Source link
