ShellBot-ի անվան ներքո գործող հաքերներն օգտագործում են այնպիսի IP հասցեներ, որոնք փոխակերպված են hexadecima նշագրման: Դրանով պայմանավորված հաքերները կարողանում են ներթափանցել Linux SSH սերվերներ և DDoS malware-ներ տեղակայել:
«Ընդհանուր առմամբ հարձակման մարտավարությունը մնում է նույնը, սակայն հաքերների կողմից ShellBot տեղադրելու համար օգտագործվող URL-ը սովորական IP հասցեից փոխակերպվել է hexadecimal արժեքի», – ասվում է AhnLab Security Emergency Response Center (ASEC) -ի կողմից այսօրվա ամսաթվով հրապարակված զեկույցում:
ShellBot-ը, որը հայտնի է նաև PerlBot անվամբ, խաթարում է այն սերվերների աշխատանքը, որոնք թույլ SSH հավատարմագրեր ունեն:
Բացահայտվել է, որ ShellBot-ի կիրառմամբ իրականացվող հարձակումներում վերջին քայլով hexadecimal IP հասցեի կիրառմամբ տեղադրվում է ընտրված malware-ը՝ hxxp://0x2763da4e/, որը համապատասխանում է 39.99.218[.]78-ին, ինչն էլ համարվում է հայտնաբերումից խուսափելու փորձ:
Բացահայտումների արդյունքում ASEC-ը պարզեց, որ հաքերներն իրենց ապահովագրում են ոչ ստանդարտ վկայականներով՝ Subject Name և Issuer Name դաշտերի համար նախատեսված անսովոր երկար string-երով, նպատակ ունենալով տարածել իրենց malware-ային ծրագրերը, ինչպիսիք են՝ Lumma Stealer-ը և RedLine Stealer-ը, որը հայտնի է որպես RecordBreaker:
«Այս տեսակի malware-ները տարածվում են վնասակար էջերի միջոցով, որոնք հեշտությամբ հասանելի են որոնման համակարգերի միջոցով ինչն էլ վտանգ է ներկայացնում unspecified user-երի լայն շրջանակի համար», – ասվում է ASEC-ում:
«Այս վնասակար էջերը հիմնականում օգտագործում են անօրինական ծրագրերի keyword-եր, ինչպիսիք են՝ serial-երը, keygen-երը և crack-ները»:
Աղբյուրը՝ https://thehackernews.com/
