Hack Alerta

Sensor DShield flagra worm SSH autopropagante que compromete sistemas em segundos

Por Redação Hack Alerta Publicado em 12/02/2026 14:02 Riscos e Ameaças Tempo de leitura: 2 min

Sensores DShield capturaram um worm SSH capaz de comprometer sistemas Linux em cerca de quatro segundos usando credential stuffing contra credenciais fracas (ex.: Raspberry Pi). O malware executa um script de 4,7 KB que estabelece persistência, mata concorrentes e usa IRC para C2, com validação de comandos por RSA embutida.

Pesquisadores do Internet Storm Center analisaram tráfego capturado por sensores DShield e documentaram um worm SSH autopropagante que combina credential stuffing com verificação criptográfica de comandos.

Resumo técnico

O artefato é um worm capaz de comprometer sistemas Linux via ataques de força bruta em credenciais SSH em cerca de quatro segundos, segundo a investigação. Após autenticar com credenciais fracas, um script bash compacto (~4,7 KB) é enviado e executado quase imediatamente, estabelecendo persistência, removendo processos concorrentes e conectando o host a uma infraestrutura de comando‑e‑controle baseada em IRC.

Origem e vetor

O registro de atividade indica que uma Raspberry Pi comprometida na Alemanha foi utilizada como fonte observada da cadeia de ataque. O worm explora acessos com credenciais padrão (por exemplo, conta pi com senhas como raspberry), aproveitando dispositivos IoT e sistemas com autenticação fraca.

Restrições de controle e verificação criptográfica

Ao contrário de worms tradicionais, este contém uma chave pública RSA embutida que valida criptograficamente todos os comandos recebidos antes da execução, evitando que terceiros sequestren o botnet. Após a infecção, o dispositivo junta‑se a canais IRC (um citado é #biret) e instala ferramentas de escaneamento como zmap e sshpass para ampliar a varredura por endereços e portas.

Impacto operacional

Além da rápida taxa de infecção, o script cria múltiplos pontos de persistência, mata processos de botnets concorrentes e conecta o equipamento a redes de C2 que usam canais IRC. Isso permite propagação exponencial em dispositivos expostos. O relatório descreve varreduras aleatórias de 100.000 IPs como parte do mecanismo de descoberta.

Mitigações práticas

  • Desabilitar autenticação por senha no SSH e migrar para autenticação por chave pública.
  • Remover contas padrão (por exemplo, pi em Raspberry Pi) ou trocar suas senhas imediatamente.
  • Habilitar mecanismos de bloqueio de tentativa (ex.: fail2ban) e segmentar dispositivos IoT fora de redes críticas.

O que falta

O relatório público descreve o fluxo observado e recomendações, mas não divulga indicadores de compromisso (IoCs) completos nesta matéria. Operadores que detectarem atividade devem correlacionar logs SSH com sinais de transferência de scripts pequenos (~4–5 KB) e conexões IRC para identificar comprometimentos.

Fonte: investigação do Internet Storm Center reportada por Cyber Security News.

Baseado em publicação original de Cyber Security News
Tags: #ssh #worm #raspberry-pi #botnet #credential-stuffing #irc #zmap #persistence #iot
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar