Servidores Linux SSH mal gerenciados estão sendo visados como parte de uma nova campanha que implanta diferentes variantes de um malware chamado ShellBot. Ele é um malware DDoS desenvolvido em Perl e caracteristicamente usa o protocolo IRC para se comunicar com o servidor de comando e controle.

O ShellBot é instalado em servidores com credenciais fracas, mas somente depois que os agentes de ameaças identificam sistemas com a porta SSH 22 aberta.

Uma lista de credenciais SSH conhecidas é usada para iniciar um ataque de dicionário para violar o servidor e implantar a carga útil, logo após ele aproveita o protocolo Internet Relay Chat ( IRC ) para se comunicar com um servidor remoto.

As descobertas ocorrem quase três meses depois que o malware foi empregado em ataques direcionados a servidores Linux que também distribuíam mineradores de criptomoedas por meio de um compilador de shell script.

Se o ShellBot estiver instalado, os servidores Linux podem ser usados como bots DDoS para ataques DDoS contra alvos específicos após receber um comando do agente da ameaça.