O novo malware GoBruteforcer ataca phpMyAdmin, MySQL, FTP e Postgres
13 de Março de 2023

Um novo malware de botnet baseado em Golang verifica e infecta servidores web que executam serviços phpMyAdmin, MySQL, FTP e Postgres.

De acordo com pesquisadores da Unit 42 da Palo Alto Networks, que o detectaram pela primeira vez e o apelidaram de GoBruteforcer, o malware é compatível com as arquiteturas x86, x64 e ARM.

O GoBruteforcer usa força bruta para invadir contas com senhas fracas ou padrão para atacar dispositivos *nix vulneráveis.

"Para uma execução bem-sucedida, as amostras exigem condições especiais no sistema da vítima, como o uso de argumentos específicos e serviços visados já instalados (com senhas fracas)", disseram os pesquisadores.

Para cada endereço IP visado, o malware começa a procurar serviços phpMyAdmin, MySQL, FTP e Postgres.

Depois de detectar uma porta aberta que aceita conexões, ele tentará fazer login usando credenciais codificadas.

Uma vez dentro, ele implanta um bot IRC em sistemas phpMyAdmin comprometidos ou um shell web PHP em servidores que executam outros serviços visados.

Na próxima fase do ataque, o GoBruteforcer se conectará ao seu servidor de comando e controle e aguardará instruções que serão entregues por meio do bot IRC ou shell web previamente instalado.

A botnet usa um módulo de multiscan para encontrar possíveis vítimas dentro de um Routing Inter-Domain Sem Classe (CIDR), concedendo-lhe uma ampla seleção de alvos para infiltrar redes.

Antes de procurar endereços IP para atacar, o GoBruteforcer escolhe um bloco CIDR e visará todos os endereços IP dentro desse intervalo.

Em vez de visar um único IP, o malware usa a varredura de bloco CIDR para acessar uma variedade de hosts em vários endereços IP, aumentando o alcance do ataque.

É provável que o GoBruteforcer esteja em desenvolvimento ativo, com seus operadores esperando adaptar suas táticas e as capacidades do malware para visar servidores web e permanecer à frente das defesas de segurança.

"Vimos este malware implantar remotamente uma variedade de tipos diferentes de malware como payloads, incluindo coinminers", acrescentou a Unit42.

"Acreditamos que o GoBruteforcer está em desenvolvimento ativo e, como tal, coisas como vetores de infecção inicial ou payloads podem mudar em um futuro próximo".

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...