Los piratas informáticos dejan abierta la botnet de relleno de credenciales con acceso total para los trabajadores y contraseñas de root

Se encontró una botnet de relleno de credenciales en vivo dirigida a cuentas de Twitter/X completamente expuesta a Internet, sin necesidad de contraseña para acceder a su panel de control, credenciales del servidor de trabajo o datos de ataque en tiempo real. El sistema expuesto, que se ejecuta bajo el nombre “Twitter Checker Master Panel – FULL FIX v2.3”, dejó contraseñas SSH root para los 18 servidores trabajadores legibles por cualquiera que se conectara a la dirección IP correcta y supiera a qué puerto acceder.

El panel de comando y control de la botnet se ejecutaba en 144[.]76[.]57[.]92 en el puerto 5000, alojado en una máquina con Windows Server 2019 a través de Hetzner Online GmbH en Falkenstein, Alemania. El panel se creó en Python Flask con Socket.IO para la transmisión de registros en vivo, pero no tenía capa de autenticación de ningún tipo: ni página de inicio de sesión, ni claves API ni comprobaciones de sesión. Cualquiera que llegara al servidor podía verlo todo: estadísticas de ataques en vivo, detalles del servidor de trabajo, listas de credenciales activas y un registro en ejecución de las cuentas comprometidas. Durante una ventana de observación de 12 minutos, los analistas observaron cómo la botnet probaba 722,763 credenciales en tiempo real y confirmaba 18 nuevos compromisos.

Las estadísticas de por vida capturadas durante la sesión mostraron que la operación ya había probado más de 4,8 millones de cuentas, lo que resultó en 138 compromisos confirmados, todos pertenecientes a usuarios que no tenían autenticación de dos factores en sus cuentas. La publicación Los piratas informáticos dejan abierta la botnet de relleno de credenciales con acceso total para los trabajadores y contraseñas de raíz apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗