Pesquisadores da Elastic Security Labs revelaram detalhes sobre o botnet Outlaw, também conhecido como Dota, um malware que atinge servidores Linux por meio de ataques de força bruta via SSH para minerar criptomoedas. Ativo desde 2018, o grupo por trás da ameaça — supostamente de origem romena — utiliza técnicas simples, porém eficazes, para invadir sistemas, manter persistência e propagar o malware automaticamente em novos alvos.

O Outlaw realiza ataques de força bruta contra servidores SSH mal configurados, adicionando chaves próprias ao arquivo authorized_keys dos sistemas comprometidos. Após o acesso inicial, um script chamado tddwrt7s.sh baixa o arquivo dota3.tar.gz, que contém os binários do minerador e utilitários para eliminar traços de infecções anteriores, remover outros mineradores e garantir exclusividade no uso dos recursos da máquina. O malware usa um módulo de autopropagação, apelidado de BLITZ, que escaneia a internet em busca de outros sistemas vulneráveis com SSH habilitado, ampliando o alcance da botnet.

Em versões mais sofisticadas, também foram observadas explorações das falhas CVE-2016-8655 e CVE-2016-5195 (Dirty COW), além de ataques a dispositivos com credenciais Telnet fracas. Além da mineração, o Outlaw instala o SHELLBOT, um trojan que se conecta a canais IRC para permitir controle remoto dos dispositivos, execução de comandos arbitrários, roubo de credenciais, ataques DDoS e download de novos malwares. O malware ainda ativa o uso de “hugepages” para melhorar o desempenho da mineração e utiliza um binário camuflado como kswap01 para manter comunicação com sua infraestrutura.