(https://i.postimg.cc/Xq8DrMhm/Malware-4.png) (https://postimg.cc/wR1krr9Q)
Investigadores de ciberseguridad han descubierto un módulo Go malicioso que se presenta como una herramienta de fuerza bruta para SSH, pero que en realidad contiene una funcionalidad para extraer discretamente credenciales a su creador.
"Al iniciar sesión con éxito por primera vez, el paquete envía la dirección IP, el nombre de usuario y la contraseña del objetivo a un bot de Telegram codificado, controlado por el actor de la amenaza", declaró Kirill Boychenko, investigador de Socket.
El paquete engañoso, llamado "golang-random-ip-ssh-bruteforce", se ha vinculado a una cuenta de GitHub llamada IllDieAnyway (G3TT), que actualmente no es accesible. Sin embargo, sigue estando disponible en pkg.go[.]dev. Se publicó el 24 de junio de 2022.
La empresa de seguridad de la cadena de suministro de software afirmó que el módulo Go funciona escaneando direcciones IPv4 aleatorias en busca de servicios SSH expuestos en el puerto TCP 22. Posteriormente, intenta extraer el servicio mediante fuerza bruta utilizando una lista de nombre de usuario y contraseña integrada y extrayendo las credenciales obtenidas al atacante.
Un aspecto destacable del malware es que deshabilita deliberadamente la verificación de la clave de host al configurar "ssh.InsecureIgnoreHostKey" como HostKeyCallback, lo que permite al cliente SSH aceptar conexiones de cualquier servidor, independientemente de su identidad.
La lista de palabras es bastante sencilla: incluye solo dos nombres de usuario: root y admin, y los asocia con contraseñas débiles como root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein y Passw@rd.
El código malicioso se ejecuta en un bucle infinito para generar las direcciones IPv4, y el paquete intenta iniciar sesión simultáneamente mediante SSH desde la lista de palabras.
Los datos se transmiten a un bot de Telegram controlado por un actor de amenazas llamado "@sshZXC_bot" (ssh_bot) a través de la API, que confirma la recepción de las credenciales. Los mensajes se envían a través del bot a una cuenta con el identificador "@io_ping" (Gett).
(https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjdPvGfOX4Abfle8aEVfLZ-G7TJQHUy3vBXXY7Fdzc4RcOQtzQ4SrOX1WsubqvWXvCKm1sX4I-xMaUYtorMM5V7lqQ34Mt5kCPcYt6PexwbS3xkZ-UESQ2Yozm1lrIe5RQ0U7OTpUFfoQGDH2ioaji0KL_0GYOWz-CdVnIITNSKVyC592YQTwAwfiBufuQu/s728-rw-e365/g3tt.jpg)
Una captura de pantalla de Internet Archive de la cuenta de GitHub, ahora eliminada, muestra que el portafolio de software de IllDieAnyway incluía un escáner de puertos IP, un analizador de información de perfil de Instagram y multimedia, e incluso una botnet de comando y control (C2) basada en PHP llamada Selica-C2.
Su canal de YouTube, que sigue accesible, alberga varios videos cortos sobre "Cómo hackear un bot de Telegram" y lo que afirman ser el "bombardero de SMS más poderoso de la Federación Rusa", capaz de enviar SMS y mensajes spam a usuarios de VK mediante un bot de Telegram. Se estima que el actor de amenazas es de origen ruso.
"El paquete delega el escaneo y la adivinación de contraseñas en operadores involuntarios, distribuye el riesgo entre sus IP y canaliza los resultados a un único bot de Telegram controlado por el actor de amenazas", declaró Boychenko.
Desactiva la verificación de la clave de host, impulsa una alta concurrencia y sale después del primer inicio de sesión válido para priorizar la captura rápida. Dado que la API de bots de Telegram usa HTTPS, el tráfico se asemeja a solicitudes web normales y puede eludir los controles de salida generales.
Fuente:
The Hacker News
https://thehackernews.com/2025/08/malicious-go-module-poses-as-ssh-brute.html