Um novo malware de botnet baseado em Golang verifica e infecta servidores web que executam serviços phpMyAdmin, MySQL, FTP e Postgres.
De acordo com pesquisadores da Unit 42 da Palo Alto Networks, que o detectaram pela primeira vez e o apelidaram de GoBruteforcer, o malware é compatível com as arquiteturas x86, x64 e ARM.
O GoBruteforcer usa força bruta para invadir contas com senhas fracas ou padrão para atacar dispositivos *nix vulneráveis.
"Para uma execução bem-sucedida, as amostras exigem condições especiais no sistema da vítima, como o uso de argumentos específicos e serviços visados já instalados (com senhas fracas)", disseram os pesquisadores.
Para cada endereço IP visado, o malware começa a procurar serviços phpMyAdmin, MySQL, FTP e Postgres.
Depois de detectar uma porta aberta que aceita conexões, ele tentará fazer login usando credenciais codificadas.
Uma vez dentro, ele implanta um bot IRC em sistemas phpMyAdmin comprometidos ou um shell web PHP em servidores que executam outros serviços visados.
Na próxima fase do ataque, o GoBruteforcer se conectará ao seu servidor de comando e controle e aguardará instruções que serão entregues por meio do bot IRC ou shell web previamente instalado.
A botnet usa um módulo de multiscan para encontrar possíveis vítimas dentro de um Routing Inter-Domain Sem Classe (CIDR), concedendo-lhe uma ampla seleção de alvos para infiltrar redes.
Antes de procurar endereços IP para atacar, o GoBruteforcer escolhe um bloco CIDR e visará todos os endereços IP dentro desse intervalo.
Em vez de visar um único IP, o malware usa a varredura de bloco CIDR para acessar uma variedade de hosts em vários endereços IP, aumentando o alcance do ataque.
É provável que o GoBruteforcer esteja em desenvolvimento ativo, com seus operadores esperando adaptar suas táticas e as capacidades do malware para visar servidores web e permanecer à frente das defesas de segurança.
"Vimos este malware implantar remotamente uma variedade de tipos diferentes de malware como payloads, incluindo coinminers", acrescentou a Unit42.
"Acreditamos que o GoBruteforcer está em desenvolvimento ativo e, como tal, coisas como vetores de infecção inicial ou payloads podem mudar em um futuro próximo".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...