Cibersegurança Alerta: Hackers Usam “Avô do Discord” (IRC) Para Transformar Milhões de PCs Linux em Exército Zumbi Global
Pesquisadores de cibersegurança da Flare revelam como a sofisticada botnet SSHStalker explora vulnerabilidades em sistemas Linux, usando o antigo protocolo IRC para orquestrar ataques DDoS, mineração de criptomoedas e proxyjacking, sem deixar rastros.
Uma nova e alarmante ameaça cibernética está usando o Internet Relay Chat (IRC), um protocolo de comunicação em tempo real considerado o “avô do Discord”, para construir um exército de computadores “zumbis” em sistemas Linux. A botnet, batizada de SSHStalker, tem a capacidade de controlar remotamente dispositivos, lançando ataques coordenados e furtivos sem que os usuários percebam.
O Que é o SSHStalker e Como Ele Atua?
De acordo com pesquisadores da empresa de cibersegurança Flare, a operação SSHStalker combina ferramentas furtivas com a exploração de vulnerabilidades no kernel do Linux. O objetivo é obter controle sobre o centro de comando dos dispositivos visados. A ação maliciosa ocorre de forma totalmente automatizada, permitindo o comprometimento em massa de sistemas graças à mecânica de botnets que se comunicam via IRC.
Os principais objetivos desses ataques são variados e lucrativos para os cibercriminosos: lançar ataques de negação de serviço distribuídos (DDoS), realizar mineração de criptomoedas e promover o chamado proxyjacking. Além disso, foi observada a capacidade de manter acesso persistente aos sistemas comprometidos, sem qualquer monitoramento aparente após a exploração inicial.
Ataque Generalizado e Estratégias Furtivas
A botnet SSHStalker utiliza um scanner desenvolvido em Golang, que busca ativamente por servidores com o protocolo SSH aberto na porta 22 – a entrada padrão para acesso remoto gratuito. Uma vez que o sistema é invadido, de maneira semelhante a um worm, o malware adiciona variantes de um bot controlado por IRC, que aguardam comandos para acionar a cadeia de infecção.
Para dificultar a detecção e apagar seus rastros, os ataques incluem a execução de arquivos de programa em C que são projetados para apagar registros de conexão SSH. Essa tática de limpeza de vestígios torna a identificação das atividades maliciosas um desafio significativo para especialistas em segurança.
Vulnerabilidades Antigas e Origem Suspeita
Um ponto crítico levantado pelos pesquisadores é que o SSHStalker consegue comprometer o kernel do Linux, inclusive em versões bastante antigas, algumas datadas de 2009. Isso indica que a botnet possui um catálogo extenso de malware e kits de ferramentas maliciosas de código aberto, permitindo a exploração de uma vasta gama de sistemas desatualizados.
Embora não se saiba ao certo como a botnet inicialmente chega aos servidores, a Flare suspeita que os agentes por trás da operação sejam de origem romena. Essa hipótese se baseia em nomenclaturas e gírias típicas da Romênia que foram encontradas em canais de IRC utilizados pela botnet, fornecendo uma pista sobre a identidade dos atacantes por trás dessa crescente ameaça cibernética.
Fonte: canaltech.com.br