Uma nova onda de ataques envolvendo o botnet GoBruteforcer está mirando bancos de dados de projetos de criptomoedas e blockchain hospedados em servidores expostos, supostamente configurados a partir de exemplos gerados por inteligência artificial.
Conhecido também como GoBrut, esse botnet desenvolvido em Golang explora serviços FTP, MySQL, PostgreSQL e phpMyAdmin mal protegidos.
O malware utiliza servidores Linux comprometidos para escanear endereços IP públicos aleatórios e realizar ataques de força bruta nas tentativas de login.
Pesquisadores da Check Point estimam que mais de 50 mil servidores expostos na internet podem ser vulneráveis a esses ataques. Segundo a empresa, o comprometimento inicial geralmente ocorre via servidores FTP em máquinas rodando XAMPP, que costumam manter senhas padrão fracas, caso o administrador não tenha aplicado configurações de segurança adequadas.
Os invasores também podem fazer upload de web shells por meio de servidores MySQL mal configurados ou de painéis phpMyAdmin. A cadeia de infecção prossegue com a execução de um downloader, que baixa um bot IRC e um módulo de brute force. A atividade do malware começa após um intervalo entre 10 e 400 segundos. Ele dispara até 95 threads de brute force em arquiteturas x86_64, escaneando faixas de IP públicas aleatórias, enquanto evita redes privadas, intervalos da AWS e redes do governo dos EUA.
Cada thread gera um endereço IPv4 público aleatório, verifica a porta do serviço relevante, tenta as credenciais de uma lista embutida e finaliza.
Novas threads são constantemente criadas para manter a concorrência.
O módulo FTP conta com uma lista fixa de 22 pares usuário-senha codificados diretamente no binário.
Esses logins correspondem a contas padrão ou comumente usadas em stacks de hospedagem como XAMPP.
A Check Point destaca que, em campanhas recentes, a atividade do GoBruteforcer tem se beneficiado da reutilização de trechos comuns de configuração de servidores gerados por grandes modelos de linguagem (LLMs).
Isso resulta na proliferação de nomes de usuários padrão fracos e previsíveis, como appuser, myuser e operator.
Esses nomes aparecem com frequência em instruções de Docker e DevOps produzidas por IA, indicando que tais configurações foram aplicadas em sistemas reais, tornando-os suscetíveis a ataques de password spraying.
Outro fator que impulsiona a campanha atual do botnet é o uso de stacks de servidores desatualizados, como o XAMPP, que ainda são distribuídos com credenciais padrão e serviços FTP abertos.
Essas instalações expõem diretórios webroot vulneráveis, facilitando a inserção de web shells pelos invasores.
O relatório da Check Point também revela uma campanha em que um host comprometido foi infectado por ferramentas de varredura de carteiras TRON, que realizam buscas nas redes TRON e Binance Smart Chain (BSC).
Os atacantes usaram um arquivo com cerca de 23 mil endereços TRON para localizar e drenar carteiras com saldo diferente de zero por meio de utilitários automatizados.
Para se proteger contra o GoBruteforcer, administradores devem evitar o uso de guias de implantação gerados por IA e preferir nomes de usuário personalizados, combinados com senhas fortes e exclusivas.
Também é recomendada a verificação e restrição do acesso a serviços FTP, phpMyAdmin, MySQL e PostgreSQL, além da substituição de stacks antigos e vulneráveis, como o XAMPP, por plataformas mais seguras.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...