Uma nova onda de ataques utilizando o malware GoBruteforcer mira bancos de dados de projetos de criptomoedas e blockchain para incorporá-los a uma botnet capaz de realizar brute-force em senhas de serviços como FTP, MySQL, PostgreSQL e phpMyAdmin em servidores Linux.
Segundo a Check Point Research, esse surto recente é impulsionado por dois fatores principais: a ampla reutilização de exemplos gerados por IA para deployment de servidores, que adotam nomes de usuários comuns e senhas fracas por padrão; e a persistência de stacks legados, como o XAMPP, que expõem interfaces FTP e administrativas com pouca proteção.
O GoBruteforcer, também conhecido como GoBrut, foi documentado pela primeira vez pela Palo Alto Networks Unit 42 em março de 2023.
O malware é capaz de atingir plataformas Unix-like que operam nas arquiteturas x86, x64 e ARM, instalando um bot IRC e um web shell para acesso remoto.
Além disso, ele baixa um módulo de brute-force para escanear sistemas vulneráveis e expandir a botnet.
Em setembro de 2025, a equipe do Black Lotus Labs, da Lumen Technologies, identificou que parte dos bots infectados, controlados por outra família de malware chamada SystemBC, também integrou a botnet GoBruteforcer.
A Check Point detectou, em meados de 2025, uma versão mais sofisticada do malware escrita em Golang.
Essa versão inclui um bot IRC fortemente ofuscado, mecanismos aprimorados de persistência, técnicas de mascaramento de processos e listas dinâmicas de credenciais.
Essas listas combinam nomes de usuários e senhas comuns (como myuser:Abcd@123 e appeaser:admin123456) que aceitam logins remotos.
A escolha desses pares não é aleatória, pois são frequentemente usados em tutoriais e documentações de bancos de dados que servem de base para treinamentos de Large Language Models (LLMs), resultando na geração automática de código com essas credenciais padrão.
Além disso, alguns nomes de usuários têm foco em criptomoedas, como cryptouser, appcrypto, crypto_app e crypto, enquanto outros visam painéis phpMyAdmin, como root, wordpress e wpuser.
Segundo a Check Point, os atacantes reutilizam um conjunto pequeno e estável de senhas para cada campanha, renovando as listas por tarefa e alternando os nomes de usuário várias vezes por semana para atingir diferentes alvos.
No brute-force via FTP, é utilizada uma lista hardcoded embutida no binário do malware, que referencia contas padrão de stacks de hospedagem web e serviços.
Nas operações observadas, servidores com FTP exposto na internet, especialmente aqueles rodando XAMPP, são usados como vetor inicial.
A partir daí, um web shell em PHP é carregado para baixar e executar a versão mais recente do bot IRC por meio de um script baseado na arquitetura do sistema.
Uma vez infectado, o host pode desempenhar três funções principais: executar brute-force em serviços como FTP, MySQL, PostgreSQL e phpMyAdmin em outras máquinas; armazenar e distribuir payloads para sistemas comprometidos; ou atuar como endpoint de controle estilo IRC, funcionando também como backup para o comando e controle (C2).
Análises adicionais revelaram que um dos hosts comprometidos foi usado para executar um módulo que itera sobre uma lista de endereços da blockchain TRON, consultando saldos por meio do serviço tronscanapi[.]com para identificar contas com fundos disponíveis.
Isso demonstra um esforço direcionado aos projetos blockchain.
De acordo com a Check Point, o GoBruteforcer evidencia um problema mais amplo e persistente: a combinação de infraestrutura exposta, credenciais fracas e ferramentas cada vez mais automatizadas.
Embora o funcionamento da botnet seja tecnicamente simples, seus operadores se aproveitam do grande volume de serviços mal configurados ainda ativos na internet.
Paralelamente, a GreyNoise relatou que agentes maliciosos estão realizando varreduras sistemáticas em busca de servidores proxy mal configurados que possam oferecer acesso a serviços comerciais de LLM.
Duas campanhas foram identificadas: a primeira, entre outubro de 2025 e janeiro de 2026, explorou vulnerabilidades SSRF (Server-Side Request Forgery) para atacar funcionalidades de modelos da Ollama e integrações de webhooks SMS da Twilio.
Como utilizam infraestrutura do ProjectDiscovery OAST, acredita-se que esse grupo seja composto por pesquisadores de segurança ou bug bounty hunters.
A segunda, iniciada em 28 de dezembro de 2025, trata-se de uma intensa operação de enumeração para identificar endpoints LLM expostos ou mal configurados vinculados a fornecedores como Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI e xAI.
Os IPs 45.88.186[.]70 e 204.76.203[.]125 foram responsáveis pelo escaneamento.
De acordo com a firma de inteligência de ameaças, entre 28 de dezembro de 2025 e 8 de janeiro de 2026, os dois endereços IP realizaram mais de 80 mil sessões de varredura meticulosa em 73 ou mais endpoints de modelos LLM, buscando servidores proxy vulneráveis que possam vazar acesso a APIs comerciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...