Programari maliciós GoBruteforcer

Els investigadors de ciberseguretat han descobert un nou programari maliciós anomenat GoBruteforcer. Aquest programari maliciós està escrit en el llenguatge de programació Go i està dissenyat específicament per orientar-se als servidors web que executen phpMyAdmin, MySQL, FTP i Postgres. L'objectiu de l'amenaça és prendre el control d'aquests dispositius i afegir-los a una botnet, que després es pot utilitzar per a diverses activitats malicioses. Els detalls sobre les capacitats malicioses de l'amenaça es van publicar en un informe dels investigadors d'infosec de la Unitat 42 de Palo Alto Networks.

Una de les característiques notables de GoBruteforcer és l'ús de l'exploració de blocs d'encaminament entre dominis sense classes (CIDR). Aquesta tècnica permet al programari maliciós escanejar la xarxa i orientar totes les adreces IP dins d'un interval CIDR específic en lloc d'utilitzar una única adreça IP com a objectiu. D'aquesta manera, el programari maliciós pot accedir a una gamma més àmplia d'amfitrions en diferents IP dins d'una xarxa. Això fa que sigui més difícil per als administradors de xarxa detectar i bloquejar l'atac.

Els dispositius infectats pel programari maliciós GoBruteforcer s'afegeixen a una botnet

GoBruteforcer és un tipus de programari maliciós que s'ha dissenyat específicament per orientar-se a plataformes semblants a Unix amb arquitectures x86, x64 i ARM. El programari maliciós intenta accedir a aquests dispositius mitjançant un atac de força bruta mitjançant una llista de credencials codificades al binari. Si té èxit, el programari maliciós desplega un bot IRC (xat de retransmissió d'Internet) al servidor de les víctimes per establir comunicació amb un servidor controlat per l'actor.

A més d'utilitzar un atac de força bruta, GoBruteforcer també aprofita un shell web PHP que ja està instal·lat al servidor de la víctima. Això permet que el programari maliciós recopili més informació sobre la xarxa de destinació.

Malgrat la seva eficàcia, no està clar com es lliuren inicialment GoBruteforcer i l'intèrpret d'ordres PHP als dispositius de destinació. Tanmateix, els investigadors de ciberseguretat han observat que les tàctiques i tècniques del programari maliciós estan evolucionant activament, cosa que indica que els desenvolupadors que hi ha darrere treballen contínuament per evadir la detecció i millorar l'eficàcia dels seus atacs.

Les mesures sòlides de ciberseguretat haurien de ser una prioritat màxima tant per als usuaris com per a les organitzacions

Els servidors web han estat un objectiu molt buscat per als ciberatacants durant molt de temps. Les contrasenyes febles poden comportar amenaces importants, ja que els servidors web són un component essencial de la infraestructura digital d'una organització. El programari maliciós com GoBruteforcer explota aquestes vulnerabilitats aprofitant contrasenyes febles o predeterminades per obtenir accés no autoritzat a aquests servidors.

Una de les característiques més significatives del bot GoBruteforcer és la seva capacitat d'escaneig múltiple, que li permet orientar-se a una àmplia gamma de víctimes potencials. Això, juntament amb el desenvolupament actiu del programari maliciós, significa que els atacants poden modificar les seves tàctiques i tècniques per orientar els servidors web de manera més eficaç en el futur. Per tant, és essencial assegurar-se que els servidors web estiguin protegits amb contrasenyes fortes i úniques per minimitzar el risc d'atacs de programari maliciós com GoBruteforcer.