Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Ataques da botnet GoBruteforcer

Ataques da botnet GoBruteforcer

Por Mezo em Malware, Redes de Bots
Traduzir Para:

Uma nova onda de atividades do GoBruteforcer está visando ativamente bancos de dados associados a projetos de criptomoedas e blockchain. Os atacantes estão cooptando servidores vulneráveis para uma botnet distribuída capaz de realizar ataques de força bruta em larga escala contra serviços comuns, incluindo FTP, MySQL, PostgreSQL e phpMyAdmin em sistemas Linux.

Esta campanha não é indiscriminada. As evidências mostram um foco claro na infraestrutura ligada aos ecossistemas de blockchain, refletindo tanto a motivação financeira quanto a abundância de ambientes de desenvolvimento pouco seguros neste setor.

Por que esta campanha está ganhando força?

Duas tendências convergentes estão impulsionando o aumento atual. Primeiro, os administradores estão reutilizando cada vez mais guias de implantação e exemplos de servidores gerados por IA, muitos dos quais replicam os mesmos nomes de usuário e credenciais padrão fracos encontrados em tutoriais e documentação online. Segundo, sistemas web legados, particularmente instalações do XAMPP, continuam sendo implantados com serviços FTP expostos e interfaces administrativas que carecem de segurança adequada.

Em conjunto, essas condições proporcionam aos atacantes uma superfície de ataque previsível e fértil.

Das origens de 2023 a uma variante mais perigosa em 2025

O GoBruteforcer, também conhecido como GoBrut, foi inicialmente documentado em março de 2023. As primeiras pesquisas descreveram uma família de malware baseada em Golang, projetada para sistemas do tipo Unix em arquiteturas x86, x64 e ARM. Ele implantava um bot de IRC para comando e controle, instalava um shell web para acesso remoto persistente e recuperava um módulo de força bruta para buscar hosts vulneráveis adicionais.

Em setembro de 2025, pesquisadores descobriram que partes da botnet operavam em conjunto com outra variante de malware, a SystemBC, indicando infraestrutura compartilhada ou controle coordenado.

Em meados de 2025, ocorreu um salto técnico significativo. Os analistas identificaram uma variante mais avançada com um bot de IRC altamente ofuscado, reescrito em Golang, mecanismos de persistência aprimorados, recursos de mascaramento de processos e listas de credenciais gerenciadas dinamicamente que podiam ser atualizadas sob demanda.

Estratégia de credenciais moldada por IA e hábitos de desenvolvedores

O componente de força bruta do malware se baseia em combinações selecionadas de nomes de usuário e senhas comuns, como 'myuser:Abcd@123' ou 'appeaser:admin123456'. Essas não são seleções aleatórias. Muitas delas têm origem em tutoriais de banco de dados, documentação de hospedagem e exemplos de fornecedores — materiais que foram amplamente incorporados em grandes conjuntos de dados para treinamento de modelos de linguagem. Como resultado, as ferramentas de IA frequentemente reproduzem os mesmos valores padrão em trechos de configuração gerados, padronizando involuntariamente credenciais fracas em diferentes implementações.

Nomes de usuário adicionais na rotação fazem referência a fluxos de trabalho de criptomoedas (como 'cryptouser', 'appcrypto', 'crypto_app' e 'crypto') ou são direcionados especificamente a ambientes phpMyAdmin, incluindo 'root', 'wordpress' e 'wpuser'.

Os atacantes mantêm um conjunto de senhas relativamente pequeno e estável para cada campanha, atualizando as listas específicas para cada tarefa a partir dessa base, enquanto rotacionam os nomes de usuário e adicionam senhas específicas várias vezes por semana. Os ataques FTP são tratados de forma diferente: o binário do bruteforcer contém um conjunto de credenciais pré-definido que corresponde de perto aos padrões de hospedagem web e contas de serviço.

A cadeia de infecção e as capacidades das botnets

As intrusões observadas geralmente começam com um serviço FTP exposto à internet em um servidor XAMPP. Uma vez obtido o acesso, os atacantes carregam um shell web PHP. Esse shell é então usado para buscar e executar um bot de IRC atualizado por meio de um script shell adaptado à arquitetura do host.

Após ser comprometido, um sistema infectado pode ser reaproveitado de diversas maneiras:

  • Ele executa módulos de força bruta para tentar acessar serviços FTP, MySQL, PostgreSQL e phpMyAdmin na internet.
  • Ele hospeda e distribui cargas maliciosas para máquinas recém-comprometidas.
  • Ele fornece endpoints de comando e controle no estilo IRC ou funciona como um servidor C2 de contingência para melhorar a resiliência da botnet.

Evidências diretas de operações focadas em blockchain

Investigações adicionais revelaram que pelo menos um servidor comprometido estava executando um módulo especializado projetado para percorrer uma lista de endereços da blockchain TRON. Usando o serviço público tronscanapi.com, o malware consultava os saldos das contas para identificar carteiras com fundos não zerados. Essa capacidade sugere fortemente um reconhecimento deliberado direcionado a projetos de blockchain e infraestrutura relacionada a criptomoedas, em vez de uma simples varredura oportunista.

Uma lição persistente para defensores

O GoBruteforcer ilustra uma falha de segurança mais ampla e contínua: a perigosa interseção entre serviços expostos, credenciais fracas ou reutilizadas e ferramentas de ataque cada vez mais automatizadas. Embora a botnet em si não seja tecnicamente inovadora, seus operadores se beneficiam enormemente do grande volume de servidores mal configurados ainda acessíveis na internet pública.

Para os defensores da segurança, esta campanha reforça uma mensagem já conhecida, mas crucial: eliminar credenciais padrão, restringir interfaces administrativas, desativar sistemas legados e tratar exemplos de implantação gerados por IA como pontos de partida não confiáveis, em vez de configurações prontas para produção.

Tendendo

Mais visto

Carregando...