Los actores de amenazas detrás ShellBot están aprovechando las direcciones IP transformadas a su notación hexadecimal para infiltrarse en servidores SSH Linux mal administrados e implementar el malware DDoS.
«El flujo general sigue siendo el mismo, pero la URL de descarga utilizada por el actor de amenazas para instalar ShellBot ha cambiado de una dirección IP normal a un valor hexadecimal», dijo el Centro de respuesta a emergencias de seguridad de AhnLab (ASEC) dicho en un nuevo informe publicado hoy.
Se sabe que ShellBot, también conocido con el nombre de PerlBot, viola servidores que tienen credenciales SSH débiles mediante un Ataque de diccionariocon el malware utilizado como conducto para organizar ataques DDoS y entregar mineros de criptomonedas.
Desarrollado en Perl, el malware utiliza el protocolo IRC para comunicarse con un servidor de comando y control (C2).
Se ha descubierto que el último conjunto de ataques observados que involucran a ShellBot instala el malware utilizando direcciones IP hexadecimales: hxxp://0x2763da4e/, que corresponde a 39.99.218.[.]78 – en lo que se considera un intento de evadir las firmas de detección basadas en URL.
«Debido al uso de curl para la descarga y su capacidad para admitir hexadecimal al igual que los navegadores web, ShellBot puede descargarse exitosamente en un entorno de sistema Linux y ejecutarse a través de Perl», dijo ASEC.
El desarrollo es una señal de que ShellBot continúa siendo testigo de un uso constante para lanzar ataques contra sistemas Linux.
Dado que ShellBot puede usarse para instalar malware adicional o lanzar diferentes tipos de ataques desde el servidor comprometido, se recomienda que los usuarios cambien a contraseñas seguras y las cambien periódicamente para resistir ataques de fuerza bruta y de diccionario.
La divulgación también se produce cuando ASEC reveló que los atacantes están utilizando certificados anormales como armas con cadenas inusualmente largas para los campos Nombre del sujeto y Nombre del emisor en un intento por distribuir malware de robo de información como Lumma Stealer y una variante de RedLine Stealer conocida como Plusmarquista.
«Este tipo de malware se distribuye a través de páginas maliciosas a las que se puede acceder fácilmente a través de motores de búsqueda (intoxicación SEO), lo que supone una amenaza para una amplia gama de usuarios no especificados», afirma ASEC dicho. «Estas páginas maliciosas utilizan principalmente palabras clave relacionadas con programas ilegales como seriales, keygens y cracks».