Des experts en sécurité de Cisco Talos ont découvert un nouveau malware dénommé GoScanSSH

Les experts en sécurité de Cisco Talos ont découvert un nouveau logiciel malveillant dénommé GoScanSSH permettant aux attaquants de compromettre les serveurs SSH exposés sur Internet.

GoScanSSH est utilisé pour attaquer par brute force les serveurs publiquement accessibles en SSH qui autorisent les connexions par mot de passe. GoScanSSH exploite une liste contenant plus de 7000 combinaisons de noms d’utilisateur/mot de passe. Quand GoScanSSH trouve une combinaison valide, un malware unique est créé, uploadé et exécuté sur le serveur SSH compromis. Le malware communique avec des serveurs de commande et de contrôle via un proxy Tor2Web.

GoScanSSH compare l’adresse IP de ses cibles à des blocks CIDR avant de les attaquer afin de s’assurer que la cible n’est pas gouvernementale ou militaire.

Les hackers derrière GoScanSSH sont actifs depuis juin 2017 et ont déjà déployé 70 versions différentes du logiciel malveillant GoScanSSH en utilisant plus de 250 serveurs de commande et de contrôle (C2) distincts.

Plus de détails sur le malware GoScanSSH sont accessibles dans l'analyse publiée par Talos.