Les acteurs de la menace derrière ShellBot exploitent les adresses IP transformées en notation hexadécimale pour infiltrer les serveurs Linux SSH mal gérés et déployer le malware DDoS.
« Le flux global reste le même, mais l’URL de téléchargement utilisée par l’acteur malveillant pour installer ShellBot est passée d’une adresse IP normale à une valeur hexadécimale », a déclaré le centre de réponse d’urgence de sécurité (ASEC) d’AhnLab. dit dans un nouveau rapport publié aujourd’hui.
ShellBot, également connu sous le nom de PerlBot, est connu pour pirater des serveurs dotés d’informations d’identification SSH faibles au moyen d’un attaque de dictionnairele malware étant utilisé comme canal pour organiser des attaques DDoS et fournir des mineurs de crypto-monnaie.
Développé en Perl, le malware utilise le protocole IRC pour communiquer avec un serveur de commande et de contrôle (C2).
Il a été constaté que la dernière série d’attaques observées impliquant ShellBot installait le logiciel malveillant à l’aide d’adresses IP hexadécimales – hxxp://0x2763da4e/, ce qui correspond à 39.99.218.[.]78 – dans ce qui est considéré comme une tentative d’échapper aux signatures de détection basées sur les URL.
« En raison de l’utilisation de curl pour le téléchargement et de sa capacité à prendre en charge le format hexadécimal, tout comme les navigateurs Web, ShellBot peut être téléchargé avec succès sur un environnement système Linux et exécuté via Perl », a déclaré l’ASEC.
Ce développement est le signe que ShellBot continue d’être témoin d’une utilisation constante pour lancer des attaques contre les systèmes Linux.
ShellBot étant capable d’être utilisé pour installer des logiciels malveillants supplémentaires ou lancer différents types d’attaques à partir du serveur compromis, il est recommandé aux utilisateurs d’opter pour des mots de passe forts et de les modifier périodiquement pour résister aux attaques par force brute et par dictionnaire.
La divulgation intervient également alors que l’ASEC a révélé que les attaquants utilisaient des certificats anormaux avec des chaînes inhabituellement longues pour les champs Nom du sujet et Nom de l’émetteur dans le but de distribuer des logiciels malveillants voleurs d’informations tels que Lumma Stealer et une variante de RedLine Stealer connue sous le nom de Briseur de record.
« Ces types de logiciels malveillants sont distribués via des pages malveillantes facilement accessibles via les moteurs de recherche (empoisonnement SEO), ce qui constitue une menace pour un large éventail d’utilisateurs non spécifiés », ASEC dit. « Ces pages malveillantes utilisent principalement des mots-clés liés à des programmes illégaux tels que des séries, des keygens et des cracks. »