Hackers usam “avô do Discord” para criar exército zumbi em PCs Linux
Uma botnet chamada SSHStalker consegue controlar sistemas Linux usando o Internet Relay Chat (IRC), um protocolo de comunicação em tempo real que permite bate-papos privados ou em grupo. Isso é possível graças à combinação de ferramentas furtivas e exploração de vulnerabilidades do Linux com base em exploits no kernel.
Segundo pesquisadores da empresa de cibersegurança Flare, a operação ocorre de maneira automatizada para realizar comprometimento em massa graças à mecânica de botnets vindas do IRC. O objetivo é lançar ataques de negação de serviço distribuídos (DDoS), fazer mineração de criptomoedas e promover proxyjacking.
Como funciona o ataque
Os pesquisadores identificaram que o SSHStalker possui um scanner em Golang que vai atrás de servidores com SSH aberto exatamente na porta 22, entrada que fornece por padrão acesso remoto gratuito. Dessa forma, eles invadem o sistema de maneira semelhante a um worm, adicionando variantes de um bot controlado por IRC e derivados que esperam para receber um comando que acione a cadeia de infecção.
- O ataque promove uma execução de arquivos de programa em C para apagar registros de conexão SSH, dificultando a detecção por parte de especialistas.
- O SSHStalker consegue comprometer o kernel do Linux até mesmo de versões antigas, algumas datadas de 2009.
- Os hackers possuem ainda um catálogo extenso de malware, além de kits de ferramentas maliciosas de código aberto para implementação nos ataques.
Não se sabe ao certo como a botnet chega até os servidores, mas a suspeita da Flare é que o agente por trás da operação seja de origem romena devido a nomenclaturas e gírias típicas do local que foram encontradas em canais de IRC.
É importante lembrar que a segurança cibernética é fundamental para proteger os sistemas e dados. É recomendável manter os sistemas atualizados e utilizar ferramentas de segurança para prevenir ataques como esse.
Este conteúdo pode conter links de compra.
Fonte: link