Pelaku di balik ancaman ShellBot yang terus melakukan eksploitasi menggunakan alamat IP yang diubah menjadi notasi heksadesimal untuk menyusupi server SSH Linux yang tidak dikelola dengan baik dan menyebarkan malware DDoS.
“Proses keseluruhannya tetap sama, tetapi URL unduhan yang digunakan oleh pelaku untuk menginstal ShellBot telah berubah dari alamat IP normal menjadi nilai heksadesimal,” kata Security Emergency Response Center (ASEC) dari AhnLab seperti yang dikutip dari The Hacker News.
Baca Juga : GoldDigger: Trojan perbankan Android baru yang mencuri informasi keuangan
ShellBot, juga dikenal sebagai PerlBot, menyerang server dengan kredensial SSH yang lemah dengan melalui dictionary attack dan malware tersebut kemudian digunakan sebagai saluran untuk meluncurkan DDoS dan menggerakkan penambang mata uang kripto.
Dikembangkan menggunakan Perl, malware ini menggunakan protokol IRC untuk berkomunikasi dengan server perintah dan kontrol (C2). Rangkaian serangan terbaru yang diamati melibatkan malware yang diinstal ShellBot menggunakan alamat IP heksadesimal – hxxp://0x2763da4e/ sama dengan 39.99.218[.]78 – dianggap sebagai upaya untuk menghindari deteksi tanda tangan berbasis URL.
“Karena penggunaan Curl untuk mengunduh dan kemampuannya yang mendukung format heksadesimal yang sama dengan browser web, ShellBot dapat berhasil diunduh di lingkungan sistem Linux dan dijalankan melalui Perl,” kata ASEC.
Perkembangan ini menjadi tanda bahwa ShellBot terus sering digunakan untuk melancarkan serangan terhadap sistem Linux. Karena ShellBot dapat digunakan untuk menginstal malware tambahan atau meluncurkan berbagai jenis serangan dari server yang disusupi, pengguna sebaiknya memilih kata sandi yang kuat dan mengubahnya secara berkala untuk melindungi dari serangan serangan secara paksa dan sesuai dengan dictionary.
Baca Juga : Waspada! Kampanye Botnet Malvertising Besar-besaran di Perangkat Android dan iOS
Pengungkapan ini juga muncul ketika ASEC mengungkapkan bahwa penyerang menggunakan sertifikat yang tidak biasa dengan rantai yang sangat panjang untuk bidang Nama Subjek dan Nama Penerbit dalam upaya menyebarkan malware pencuri informasi seperti Lumma Stealer dan varian RedLine Stealer yang disebut RecordBreaker.
“Malware jenis ini didistribusikan melalui halaman berbahaya yang mudah diakses melalui mesin pencari, sehingga menimbulkan ancaman bagi banyak orang,” kata ASEC.
“Halaman berbahaya ini terutama menggunakan kata kunci yang terkait dengan program ilegal seperti serial, keygen, dan crack.” Tambahnya.
