Los investigadores de ciberseguridad han descubierto un módulo GO astuto que se presenta como una aparejo de fuerza bruta para SSH, pero en existencia contiene funcionalidad para exfiltrar discretamente credenciales a su creador.
«En el primer inicio de sesión exitoso, el paquete envía la dirección IP objetivo, el nombre de becario y la contraseña a un bot de telegrama codificado controlado por el actor de amenazas», dijo el investigador de socket Kirill Boychenko.
El paquete engañoso, llamado «Golang-Random-IP-SSH-BRUTEFORCE», ha sido vinculado a una cuenta de GitHub indicación Illdieanyway (G3TT), que actualmente ya no es accesible. Sin confiscación, sigue estando arreglado en PKG.GO (.) Dev. Fue publicado el 24 de junio de 2022.
La compañía de seguridad de la dependencia de suministro de software dijo que el módulo GO funciona escaneando direcciones IPv4 aleatorias para servicios SSH expuestos en el puerto 22 de TCP, luego intentando que el servicio bruta el servicio utilizando una registro de palabras de becario integrado y exfiltrando las credenciales exitosas al atacante.
Un aspecto sobresaliente del malware es que deliberadamente deshabilita la demostración de la llavín del host configurando «SSH.InsecureignorehostKey» como un KeyKackback, lo que permite que el cliente SSH acepte conexiones de cualquier servidor, independientemente de su identidad.
La registro de palabras es asaz sencilla, incluyendo solo dos nombres de becario root y administrador, y combinarlas contra contraseñas débiles como root, prueba, contraseña, administrador, 12345678, 1234, Qwerty, WebAdmin, Webmaster, TechSupport, LetMein y Passw@RD.
El código astuto se ejecuta en un tirabuzón infinito para ocasionar las direcciones IPv4, con el paquete intentando inicios de sesión SSH concurrentes desde la registro de palabras.
Los detalles se transmiten a un bot de telegrama controlado por el actor de amenaza llamado «@sshzxc_bot» (ssh_bot) a través de la API, que luego reconoce la recibo de las credenciales. Los mensajes se envían a través del bot a una cuenta con el identificador «@io_ping» (gett).
Una instantánea de archivos de Internet de la cuenta GitHub ahora recuperada muestra que Illdieanyway, todavía conocido como la cartera de software de G3TT, incluía un escáner de puerto IP, una información de perfil de Instagram y un analizador de medios, e incluso una botnet de comando y control (C2) basado en PHP llamado Selica-C2.
Su canal de YouTube, que sigue siendo accesible, alberga varios videos de forma corta sobre «Cómo hackear un bot de telegrama» y lo que dicen ser el «bombardero SMS más potente para la Convenio de Rusia», que puede dirigir textos y mensajes de SMS de spam a los usuarios de VK que usan un bot de telegrama. Se evalúa que el actor de amenaza es de origen ruso.
«El paquete descarga escanear y adivinar contraseña a los operadores involuntarios, difundir el aventura en sus IPS y abunda los éxitos a un bot de telegrama controlado por el actor de una sola amenaza», dijo Boychenko.
«Desactiva la demostración de la esencia del host, impulsa una reincorporación concurrencia y sale luego del primer inicio de sesión válido para priorizar la captura rápida. Conveniente a que la API BOT de Telegram usa HTTPS, el tráfico parece solicitudes web normales y puede acontecer más allá de los controles de salida gruesos».
