{"id":994657,"date":"2023-10-12T16:42:58","date_gmt":"2023-10-12T16:42:58","guid":{"rendered":"https:\/\/teknomers.com\/es\/shellbot-utiliza-direcciones-ip-hexadecimales-para-evadir-la-deteccion-en-ataques-a-servidores-ssh-de-linux\/"},"modified":"2023-10-12T16:43:02","modified_gmt":"2023-10-12T16:43:02","slug":"shellbot-utiliza-direcciones-ip-hexadecimales-para-evadir-la-deteccion-en-ataques-a-servidores-ssh-de-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/shellbot-utiliza-direcciones-ip-hexadecimales-para-evadir-la-deteccion-en-ataques-a-servidores-ssh-de-linux\/","title":{"rendered":"ShellBot utiliza direcciones IP hexadecimales para evadir la detecci\u00f3n en ataques a servidores SSH de Linux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de octubre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/ShellBot-utiliza-direcciones-IP-hexadecimales-para-evadir-la-deteccion-en.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los actores de amenazas detr\u00e1s <strong>ShellBot<\/strong> est\u00e1n aprovechando las direcciones IP transformadas a su notaci\u00f3n hexadecimal para infiltrarse en servidores SSH Linux mal administrados e implementar el malware DDoS.<\/p>\n<p>&#8220;El flujo general sigue siendo el mismo, pero la URL de descarga utilizada por el actor de amenazas para instalar ShellBot ha cambiado de una direcci\u00f3n IP normal a un valor hexadecimal&#8221;, dijo el Centro de respuesta a emergencias de seguridad de AhnLab (ASEC) <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/57635\/\" target=\"_blank\">dicho<\/a> en un nuevo informe publicado hoy.<\/p>\n<p>Se sabe que ShellBot, tambi\u00e9n conocido con el nombre de PerlBot, viola servidores que tienen credenciales SSH d\u00e9biles mediante un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Dictionary_attack\" target=\"_blank\">Ataque de diccionario<\/a>con el malware utilizado como conducto para organizar ataques DDoS y entregar mineros de criptomonedas.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Desarrollado en Perl, el malware utiliza el protocolo IRC para comunicarse con un servidor de comando y control (C2).<\/p>\n<p>Se ha descubierto que el \u00faltimo conjunto de ataques observados que involucran a ShellBot instala el malware utilizando direcciones IP hexadecimales: hxxp:\/\/0x2763da4e\/, que corresponde a 39.99.218.[.]78 \u2013 en lo que se considera un intento de evadir las firmas de detecci\u00f3n basadas en URL.<\/p>\n<p>&#8220;Debido al uso de curl para la descarga y su capacidad para admitir hexadecimal al igual que los navegadores web, ShellBot puede descargarse exitosamente en un entorno de sistema Linux y ejecutarse a trav\u00e9s de Perl&#8221;, dijo ASEC.<\/p>\n<p>El desarrollo es una se\u00f1al de que ShellBot contin\u00faa siendo testigo de un uso constante para lanzar ataques contra sistemas Linux.<\/p>\n<p>Dado que ShellBot puede usarse para instalar malware adicional o lanzar diferentes tipos de ataques desde el servidor comprometido, se recomienda que los usuarios cambien a contrase\u00f1as seguras y las cambien peri\u00f3dicamente para resistir ataques de fuerza bruta y de diccionario.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La divulgaci\u00f3n tambi\u00e9n se produce cuando ASEC revel\u00f3 que los atacantes est\u00e1n utilizando certificados anormales como armas con cadenas inusualmente largas para los campos Nombre del sujeto y Nombre del emisor en un intento por distribuir malware de robo de informaci\u00f3n como Lumma Stealer y una variante de RedLine Stealer conocida como <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudsek.com\/blog\/recordbreaker-the-resurgence-of-raccoon\" target=\"_blank\">Plusmarquista<\/a>.<\/p>\n<p>&#8220;Este tipo de malware se distribuye a trav\u00e9s de p\u00e1ginas maliciosas a las que se puede acceder f\u00e1cilmente a trav\u00e9s de motores de b\u00fasqueda (intoxicaci\u00f3n SEO), lo que supone una amenaza para una amplia gama de usuarios no especificados&#8221;, afirma ASEC <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/57553\/\" target=\"_blank\">dicho<\/a>.  &#8220;Estas p\u00e1ginas maliciosas utilizan principalmente palabras clave relacionadas con programas ilegales como seriales, keygens y cracks&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/shellbot-uses-hex-ips-to-evade.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de octubre de 2023\ue804Sala de redacci\u00f3n Los actores de amenazas detr\u00e1s ShellBot est\u00e1n aprovechando las direcciones IP<\/p>\n","protected":false},"author":1,"featured_media":994658,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,4664,34790,8699,28129,4662,209785,4668,201033,18038,4654,201031,4659,4653,4655,18,4666,4665,7982,153796,201032,97745,6984,4660],"class_list":["post-994657","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-deteccion","tag-direcciones","tag-evadir","tag-filtracion-de-datos","tag-hexadecimales","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-linux","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidores","tag-shellbot","tag-software-malicioso-ransomware","tag-ssh","tag-utiliza","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/994657","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=994657"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/994657\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/994658"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=994657"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=994657"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=994657"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}