Investigadores identificaram uma nova botnet Linux chamada SSHStalker que depende do protocolo IRC obsoleto para as suas operações de comando e controlo. A botnet propaga-se através de varreduras SSH e força bruta, visando infraestruturas de cloud. Incorpora vulnerabilidades antigas e mecanismos de persistência para uma infecção ampla.
A botnet SSHStalker, documentada pela empresa de inteligência de ameaças Flare, opera utilizando o protocolo Internet Relay Chat (IRC), originalmente desenvolvido em 1988 e popular nos anos 90 para mensagens baseadas em texto. Esta escolha enfatiza a simplicidade, baixo consumo de largura de banda e resiliência através de múltiplos bots baseados em C e servidores e canais redundantes, em vez de técnicas avançadas de furtividade. A infecção inicial ocorre através de uma ferramenta baseada em Go disfarçada como o scanner de rede nmap, que realiza varreduras SSH ruidosas e ataques de força bruta. Uma vez dentro de um host, o malware usa o sistema comprometido para procurar mais alvos, permitindo propagação semelhante a um worm. A Flare analisou um ficheiro contendo resultados de quase 7.000 varreduras realizadas em janeiro, principalmente direcionadas à infraestrutura Oracle Cloud. Após ganhar acesso, o SSHStalker descarrega o compilador GCC para construir payloads diretamente na máquina vítima, melhorando a portabilidade. Em seguida, implanta bots IRC codificados em C com servidores e canais de comando e controlo predefinidos para integrar o host na rede. Componentes adicionais de arquivos chamados GS e bootbou gerenciam a orquestração. A persistência é mantida através de tarefas cron executadas a cada 60 segundos, atuando como um watchdog para reiniciar o processo principal se terminado. Para escalação de privilégios, a botnet explora 16 vulnerabilidades e exposições comuns (CVEs) de kernels Linux de 2009-2010, após entrada inicial com privilégios baixos. Recursos de monetização incluem colheita de chaves AWS, varredura de sites web e implantação do PhoenixMiner para mineração de criptomoedas Ethereum. Ferramentas DDoS estão integradas mas não utilizadas até agora; bots tipicamente conectam-se a servidores C2 e permanecem ociosos, indicando testes possíveis ou acumulação de recursos. A Flare nota semelhanças com a família de botnets Outlaw/Maxlas e indicadores ligados à Roménia, mas não o associou a um grupo específico. Para o contrariar, a empresa aconselha monitorizar atividade de compiladores, tráfego de saída IRC e tarefas cron frequentes. Passos defensivos incluem desativar logins por palavra-passe SSH, remover compiladores de ambientes de produção, aplicar filtros de saída e bloquear execução em /dev/shm.
