Malware GoBruteforcer

Un nuovo malware chiamato GoBruteforcer è stato scoperto dai ricercatori di sicurezza informatica. Questo malware è scritto nel linguaggio di programmazione Go ed è specificamente progettato per prendere di mira i server Web che eseguono phpMyAdmin, MySQL, FTP e Postgres. L'obiettivo della minaccia è assumere il controllo di questi dispositivi e aggiungerli a una botnet, che può quindi essere utilizzata per varie attività dannose. I dettagli sulle capacità dannose della minaccia sono stati rilasciati in un rapporto dei ricercatori di infosec presso l'Unità 42 di Palo Alto Networks.

Una delle caratteristiche degne di nota di GoBruteforcer è l'uso della scansione dei blocchi CIDR (Classless Inter-Domain Routing). Questa tecnica consente al malware di scansionare la rete e prendere di mira tutti gli indirizzi IP all'interno di uno specifico intervallo CIDR invece di utilizzare solo un singolo indirizzo IP come bersaglio. In questo modo, il malware può accedere a una gamma più ampia di host su diversi IP all'interno di una rete. Ciò rende più difficile per gli amministratori di rete rilevare e bloccare l'attacco.

I dispositivi infettati dal malware GoBruteforcer vengono aggiunti a una botnet

GoBruteforcer è un tipo di malware progettato specificamente per colpire piattaforme simili a Unix che eseguono architetture x86, x64 e ARM. Il malware tenta di ottenere l'accesso a questi dispositivi tramite un attacco di forza bruta utilizzando un elenco di credenziali codificate nel codice binario. In caso di successo, il malware distribuisce un bot IRC (internet relay chat) sul server delle vittime per stabilire una comunicazione con un server controllato dall'attore.

Oltre a utilizzare un attacco di forza bruta, GoBruteforcer sfrutta anche una shell Web PHP già installata sul server vittima. Ciò consente al malware di raccogliere maggiori informazioni sulla rete mirata.

Nonostante la sua efficacia, non è chiaro come GoBruteforcer e la shell PHP vengano inizialmente consegnati ai dispositivi presi di mira. Tuttavia, i ricercatori di sicurezza informatica hanno notato che le tattiche e le tecniche del malware si stanno evolvendo attivamente, indicando che gli sviluppatori dietro di esso lavorano continuamente per eludere il rilevamento e migliorare l'efficacia dei loro attacchi.

Robuste misure di sicurezza informatica dovrebbero essere una priorità assoluta sia per gli utenti che per le organizzazioni

I server Web sono stati a lungo un obiettivo molto ricercato dagli aggressori informatici. Le password deboli possono portare a minacce significative, poiché i server Web sono una componente essenziale dell'infrastruttura digitale di un'organizzazione. Malware come GoBruteforcer sfruttano queste vulnerabilità sfruttando password deboli o predefinite per ottenere l'accesso non autorizzato a questi server.

Una delle caratteristiche più significative del bot GoBruteforcer è la sua capacità di scansione multipla, che gli consente di prendere di mira un'ampia gamma di potenziali vittime. Questo, unito allo sviluppo attivo del malware, significa che gli aggressori possono modificare le loro tattiche e tecniche per prendere di mira i server Web in modo più efficace in futuro. Pertanto, è essenziale garantire che i server Web siano protetti con password complesse e univoche per ridurre al minimo il rischio di attacchi da parte di malware come GoBruteforcer.