🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie o projeto e divulgue suas redes! Clique aqui
Os pesquisadores de segurança cibernética descobriram um módulo GO malicioso que se apresenta como uma ferramenta de força bruta para SSH, mas na verdade contém funcionalidade para exfiltrar discretamente as credenciais ao seu criador.
"No primeiro login bem-sucedido, o pacote envia o endereço IP de destino, o nome de usuário e a senha para um Bot de Telegram codificado controlado pelo ator de ameaças", disse o pesquisador de soquete Kirill Boychenko.
O pacote enganoso, chamado "Golang-Random-iP-SSH-Bruteforce", foi vinculado a uma conta do GitHub chamada Illdieanyway (G3TT), que atualmente não está mais acessível. No entanto, continua disponível no PKG.GO [.] Dev. Foi publicado em 24 de junho de 2022.
A empresa de segurança da cadeia de suprimentos de software disse que o módulo GO funciona digitalizando endereços IPv4 aleatórios quanto a serviços SSH expostos na porta TCP 22 e depois tentando forçar a força bruta usando uma lista de palavras-passa-pass de usuário incorporada e exfiltrar as credenciais bem-sucedidas ao atacante.
Um aspecto notável do malware é que ele deliberadamente desativa a verificação da chave do host, definindo "ssh.insecureignorehostkey" como um hostkeycallback, permitindo assim que o cliente SSH aceite conexões de qualquer servidor, independentemente de sua identidade.
A lista de palavras é bastante direta, incluindo apenas dois nomes de usuário Root e Admin, e emparelhá -los com senhas fracas como root, teste, senha, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein e passw@rd.
O código malicioso é executado em um loop infinito para gerar os endereços IPv4, com o pacote tentando logins SSH simultâneos da lista do Word.
Os detalhes são transmitidos a um bot de Telegrama controlado por ator de ameaças chamado "@sshzxc_bot" (ssh_bot) através da API, que reconhece o recebimento das credenciais. As mensagens são enviadas através do bot para uma conta com o identificador "@io_ping" (gett).
Um instantâneo de arquivamento da Internet da conta do Github agora removida mostra que a Illdieanyway, também conhecida como o portfólio de software da G3TT, incluiu um scanner de porta IP, uma informação de perfil do Instagram e analisador de mídia e até um botnet de comando e controle baseado em PHP (C2) chamado Selica-C2.
O canal do YouTube, que permanece acessível, hospeda vários vídeos de formato curto em "Como invadir um bot de telegrama" e o que eles afirmam ser o "bombardeiro SMS mais poderoso para a Federação Russa", que pode enviar textos e mensagens de SMS de spam para usuários de VK usando um bot de telegrama. É avaliado que o ator de ameaças é de origem russa.
"O pacote descarrega a digitalização e a adivinhação de senha para operadores involuntários, espalha riscos por seus IPs e canaliza os sucessos para um único botão de telegrama controlado por ator de ameaça", disse Boychenko.
"Ele desativa a verificação da chave do host, gera alta simultaneidade e sai após o primeiro login válido para priorizar a captura rápida. Como a API do Telegram Bot usa HTTPS, o tráfego parece solicitações normais da Web e pode passar pelos controles de saída grossa".
"No primeiro login bem-sucedido, o pacote envia o endereço IP de destino, o nome de usuário e a senha para um Bot de Telegram codificado controlado pelo ator de ameaças", disse o pesquisador de soquete Kirill Boychenko.
O pacote enganoso, chamado "Golang-Random-iP-SSH-Bruteforce", foi vinculado a uma conta do GitHub chamada Illdieanyway (G3TT), que atualmente não está mais acessível. No entanto, continua disponível no PKG.GO [.] Dev. Foi publicado em 24 de junho de 2022.
A empresa de segurança da cadeia de suprimentos de software disse que o módulo GO funciona digitalizando endereços IPv4 aleatórios quanto a serviços SSH expostos na porta TCP 22 e depois tentando forçar a força bruta usando uma lista de palavras-passa-pass de usuário incorporada e exfiltrar as credenciais bem-sucedidas ao atacante.
Um aspecto notável do malware é que ele deliberadamente desativa a verificação da chave do host, definindo "ssh.insecureignorehostkey" como um hostkeycallback, permitindo assim que o cliente SSH aceite conexões de qualquer servidor, independentemente de sua identidade.
A lista de palavras é bastante direta, incluindo apenas dois nomes de usuário Root e Admin, e emparelhá -los com senhas fracas como root, teste, senha, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein e passw@rd.
O código malicioso é executado em um loop infinito para gerar os endereços IPv4, com o pacote tentando logins SSH simultâneos da lista do Word.
Os detalhes são transmitidos a um bot de Telegrama controlado por ator de ameaças chamado "@sshzxc_bot" (ssh_bot) através da API, que reconhece o recebimento das credenciais. As mensagens são enviadas através do bot para uma conta com o identificador "@io_ping" (gett).
Um instantâneo de arquivamento da Internet da conta do Github agora removida mostra que a Illdieanyway, também conhecida como o portfólio de software da G3TT, incluiu um scanner de porta IP, uma informação de perfil do Instagram e analisador de mídia e até um botnet de comando e controle baseado em PHP (C2) chamado Selica-C2.
O canal do YouTube, que permanece acessível, hospeda vários vídeos de formato curto em "Como invadir um bot de telegrama" e o que eles afirmam ser o "bombardeiro SMS mais poderoso para a Federação Russa", que pode enviar textos e mensagens de SMS de spam para usuários de VK usando um bot de telegrama. É avaliado que o ator de ameaças é de origem russa.
"O pacote descarrega a digitalização e a adivinhação de senha para operadores involuntários, espalha riscos por seus IPs e canaliza os sucessos para um único botão de telegrama controlado por ator de ameaça", disse Boychenko.
"Ele desativa a verificação da chave do host, gera alta simultaneidade e sai após o primeiro login válido para priorizar a captura rápida. Como a API do Telegram Bot usa HTTPS, o tráfego parece solicitações normais da Web e pode passar pelos controles de saída grossa".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #módulo #go #malicioso #posa #como #ferramenta #de #força #bruta #ssh, #rouba #credenciais #via #telegrama
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário