{"id":35389,"date":"2026-02-15T17:08:00","date_gmt":"2026-02-15T20:08:00","guid":{"rendered":"https:\/\/diariodocomercio.com.br\/mix\/?p=35389"},"modified":"2026-02-12T15:37:56","modified_gmt":"2026-02-12T18:37:56","slug":"app-dos-anos-90-que-muitos-esqueceram-agora-serve-para-invadir-computadores","status":"publish","type":"post","link":"https:\/\/diariodocomercio.com.br\/mix\/app-dos-anos-90-que-muitos-esqueceram-agora-serve-para-invadir-computadores\/","title":{"rendered":"App dos anos 90 que muitos esqueceram agora serve para invadir computadores"},"content":{"rendered":"\n<p>Uma opera\u00e7\u00e3o de botnet denominada <strong>SSHStalker<\/strong> comprometeu aproximadamente <strong>7 mil servidores Linux <\/strong>em diferentes pa\u00edses. Botnets s\u00e3o redes formadas por equipamentos infectados por programas maliciosos e controlados remotamente por criminosos, que passam a executar comandos sem o conhecimento dos propriet\u00e1rios.<\/p>\n\n\n\n<p>A campanha foi identificada pela empresa de seguran\u00e7a Flare ap\u00f3s a implementa\u00e7\u00e3o de um honeypot, t\u00e9cnica que consiste em expor intencionalmente sistemas com credenciais fracas para atrair invasores. Durante dois meses de monitoramento, a partir do in\u00edcio de 2025, os pesquisadores observaram um padr\u00e3o in\u00e9dito de atividade, sem correspond\u00eancia em bases conhecidas de malware.<\/p>\n\n\n\n<p>A infraestrutura combina pr\u00e1ticas difundidas nos anos 2000 com recursos atuais de automa\u00e7\u00e3o, o que resulta em um ecossistema resiliente. O controle dos dispositivos infectados ocorre por meio do IRC (Internet Relay Chat), protocolo de <strong>comunica\u00e7\u00e3o em grupo <\/strong>amplamente utilizado na d\u00e9cada de 1990.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">IRC oferece baixo custo operacional<\/h2>\n\n\n\n<p>Embora considerado obsoleto, <strong>o IRC oferece baixo custo operacional, <\/strong>m\u00faltiplos pontos de redund\u00e2ncia e menor aten\u00e7\u00e3o por parte de sistemas modernos de detec\u00e7\u00e3o. Os operadores adaptaram o EnergyMech, originalmente desenvolvido para administrar canais de IRC, convertendo-o em mecanismo de coordena\u00e7\u00e3o de milhares de m\u00e1quinas.<\/p>\n\n\n\n<p>Os bots utilizam extensas listas de apelidos, incluindo g\u00edrias romenas e refer\u00eancias da cultura pop, para se misturar a usu\u00e1rios leg\u00edtimos.<\/p>\n\n\n\n<p>A infec\u00e7\u00e3o come\u00e7a com varreduras automatizadas em busca de servidores SSH expostos. Um scanner malicioso, identificado como \u201cnmap\u201d e escrito em Golang, se propaga entre sistemas comprometidos. Ao localizar a porta 22 aberta, os atacantes executam ataques de for\u00e7a bruta explorando credenciais simples, ainda frequentes em ambientes mal configurados.<\/p>\n\n\n\n<p>Ap\u00f3s o acesso, instalam o compilador GCC e geram o c\u00f3digo malicioso diretamente na m\u00e1quina invadida, criando bin\u00e1rios \u00fanicos e dificultando a detec\u00e7\u00e3o por assinaturas tradicionais.<\/p>\n\n\n\n<p>Dois bots IRC quase id\u00eanticos s\u00e3o implantados como redund\u00e2ncia, conectados a servidores distintos e adaptados a arquiteturas como ARM, x86 e MIPS. Em seguida, um pacote denominado \u201cGS\u201d, composto por sete m\u00f3dulos, \u00e9 baixado. Entre eles, o \u201cdistro\u201d identifica a distribui\u00e7\u00e3o Linux e ajusta a instala\u00e7\u00e3o, enquanto scripts como \u201cclean.c\u201d e \u201ccls.c\u201d removem registros de atividade.<\/p>\n\n\n\n<p>Para garantir persist\u00eancia, o malware agenda tarefas no cron que verificam sua execu\u00e7\u00e3o a cada minuto. Caso o processo seja encerrado, \u00e9 restaurado em at\u00e9 60 segundos.&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A campanha foi identificada pela empresa de seguran\u00e7a Flare.<\/p>\n","protected":false},"author":12,"featured_media":11689,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jnews-multi-image_gallery":[],"jnews_single_post":{"format":"standard"},"jnews_primary_category":[],"jnews_social_meta":[],"jnews_override_counter":[],"jnews_post_split":[],"footnotes":""},"categories":[1],"tags":[],"class_list":["post-35389","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral"],"_referencia":"","_links":{"self":[{"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/posts\/35389","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/comments?post=35389"}],"version-history":[{"count":1,"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/posts\/35389\/revisions"}],"predecessor-version":[{"id":35390,"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/posts\/35389\/revisions\/35390"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/media\/11689"}],"wp:attachment":[{"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/media?parent=35389"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/categories?post=35389"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/diariodocomercio.com.br\/mix\/wp-json\/wp\/v2\/tags?post=35389"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}