Scoperta dai ricercatori di Cisco Talos una nuova famiglia di malware, denominata GoScanSSH, utilizzata per compromettere server SSH esposti su Internet.
Il malware colpisce sistemi basati su Linux ed è realizzato mediante il linguaggio di programmazione Go, raramente utilizzato per la creazione di codici malevoli. Gli autori di GoScanSSH hanno creato file binari unici per ogni host attaccato dal malware. Inoltre, l’infrastruttura di comando e controllo (C&C) di GoScanSSH è stata resa più difficile da tracciare e più resistente ai tentativi di smantellamento mediate l’uso del servizio di proxy Tor2Web.
Secondo gli esperti che hanno analizzato il malware, il vettore di infezione di GoScanSSH è con molta probabilità un attacco contro server SSH pubblicamente accessibili, configurati per consentire il metodo di autenticazione basato su password. Gli attaccanti hanno utilizzato una lista di credenziali contenente più di 7mila combinazioni username/password. Una volta individuata una coppia di credenziali che consente l’accesso al server attaccato, viene creata e caricata sulla macchina compromessa una copia del malware unica per quell’host. Il codice malevolo viene quindi eseguito, infettando il sistema.