Los investigadores de ciberseguridad han descubierto un módulo GO sagaz que se presenta como una útil de fuerza bruta para SSH, pero en sinceridad contiene funcionalidad para exfiltrar discretamente credenciales a su creador.
“En el primer inicio de sesión exitoso, el paquete envía la dirección IP objetivo, el nombre de usufructuario y la contraseña a un bot de telegrama codificado controlado por el actor de amenazas”, dijo el investigador de socket Kirill Boychenko.
El paquete engañoso, llamado “Golang-Random-IP-SSH-BRUTEFORCE”, ha sido vinculado a una cuenta de GitHub convocatoria Illdieanyway (G3TT), que actualmente ya no es accesible. Sin confiscación, sigue estando apto en PKG.GO (.) Dev. Fue publicado el 24 de junio de 2022.
La compañía de seguridad de la cautiverio de suministro de software dijo que el módulo GO funciona escaneando direcciones IPv4 aleatorias para servicios SSH expuestos en el puerto 22 de TCP, luego intentando que el servicio bruta el servicio utilizando una relación de palabras de usufructuario integrado y exfiltrando las credenciales exitosas al atacante.
Un aspecto extraordinario del malware es que deliberadamente deshabilita la comprobación de la espita del host configurando “SSH.InsecureIgnorehostKey” como un Key KeyCallback, lo que permite que el cliente SSH acepte conexiones de cualquier servidor, independientemente de su identidad.
La relación de palabras es suficiente sencilla, incluyendo solo dos nombres de usufructuario root y administrador, y combinarlas contra contraseñas débiles como root, prueba, contraseña, administrador, 12345678, 1234, Qwerty, WebAdmin, Webmaster, TechSupport, LetMein y Passw@RD.
El código sagaz se ejecuta en un caracolillo infinito para originar las direcciones IPv4, con el paquete intentando inicios de sesión SSH concurrentes desde la relación de palabras.
Los detalles se transmiten a un bot de telegrama controlado por el actor de amenaza llamado “@sshzxc_bot” (ssh_bot) a través de la API, que luego reconoce la admisión de las credenciales. Los mensajes se envían a través del bot a una cuenta con el identificador “@io_ping” (gett).
Una instantánea de archivos de Internet de la cuenta GitHub ahora recuperada muestra que Illdieanyway, asimismo conocido como la cartera de software de G3TT, incluía un escáner de puerto IP, una información de perfil de Instagram y un analizador de medios, e incluso una botnet de comando y control (C2) basado en PHP llamado Selica-C2.
Su canal de YouTube, que sigue siendo accesible, alberga varios videos de forma corta sobre “Cómo hackear un bot de telegrama” y lo que dicen ser el “bombardero SMS más potente para la Agrupación de Rusia”, que puede dirigir textos y mensajes de SMS de spam a los usuarios de VK que usan un bot de telegrama. Se evalúa que el actor de amenaza es de origen ruso.
“El paquete descarga escanear y adivinar contraseña a los operadores involuntarios, difundir el peligro en sus IPS y abunda los éxitos a un bot de telegrama controlado por el actor de una sola amenaza”, dijo Boychenko.
“Desactiva la comprobación de la secreto del host, impulsa una reincorporación concurrencia y sale luego del primer inicio de sesión válido para priorizar la captura rápida. Oportuno a que la API BOT de Telegram usa HTTPS, el tráfico parece solicitudes web normales y puede sobrevenir más allá de los controles de salida gruesos”.
