Atacurile de tip botnet GoBruteforcer
Un nou val de activitate GoBruteforcer vizează în mod activ bazele de date asociate cu proiecte de criptomonede și blockchain. Atacatorii cooptează servere vulnerabile într-o rețea de boturi distribuită, capabilă să efectueze atacuri brute-force la scară largă împotriva serviciilor comune, inclusiv FTP, MySQL, PostgreSQL și phpMyAdmin pe sistemele Linux.
Această campanie nu este fără discernământ. Dovezile arată o concentrare clară pe infrastructura legată de ecosistemele blockchain, reflectând atât motivația financiară, cât și abundența mediilor de dezvoltare slab securizate din acest sector.
Cuprins
De ce această campanie câștigă avânt
Două tendințe convergente alimentează valul actual. În primul rând, administratorii reutilizează din ce în ce mai mult ghiduri de implementare și exemple de servere generate de inteligență artificială, multe dintre acestea replicând aceleași nume de utilizator și acreditări implicite slabe găsite în tutorialele și documentația online. În al doilea rând, stivele web vechi, în special instalările XAMPP, continuă să fie implementate cu servicii FTP expuse și interfețe administrative care nu beneficiază de o consolidare adecvată.
Împreună, aceste condiții oferă atacatorilor o suprafață de atac previzibilă și fertilă.
De la Originile din 2023 la o variantă din 2025, mai periculoasă
GoBruteforcer, cunoscut și sub numele de GoBrut, a fost documentat inițial în martie 2023. Cercetările inițiale au descris o familie de programe malware bazate pe Golang, concepute pentru sisteme de tip Unix pe arhitecturi x86, x64 și ARM. Acesta a implementat un bot IRC pentru comandă și control, a instalat un shell web pentru acces persistent la distanță și a recuperat un modul brute-force pentru a scana gazde vulnerabile suplimentare.
Până în septembrie 2025, cercetătorii au descoperit că porțiuni ale rețelei de bot-uri operau în tandem cu o altă tulpină de malware, SystemBC, indicând o infrastructură partajată sau un control coordonat.
Mijlocul anului 2025 a marcat un salt tehnic semnificativ. Analiștii au identificat o variantă mai avansată, care include un bot IRC puternic ofuscat, rescris în Golang, mecanisme îmbunătățite de persistență, capacități de mascare a proceselor și liste de acreditări gestionate dinamic, care puteau fi actualizate la cerere.
Strategia de acreditare modelată de inteligența artificială și obiceiurile dezvoltatorilor
Componenta de forță brută a malware-ului se bazează pe combinații atent selecționate de nume de utilizator și parole comune, cum ar fi „myuser:Abcd@123” sau „appeaser:admin123456”. Acestea nu sunt selecții aleatorii. Multe provin din tutoriale despre baze de date, documentație de găzduire și exemple de la furnizori - materiale care au fost ingerate pe scară largă în corpusuri mari de antrenament pentru modele lingvistice. Drept urmare, instrumentele de inteligență artificială reproduc frecvent aceleași valori implicite în fragmentele de configurare generate, standardizând în mod neintenționat acreditările slabe în diferite implementări.
Numele de utilizator suplimentare din rotație fac referire la fluxuri de lucru legate de criptomonede (cum ar fi „cryptouser”, „appcrypto”, „crypto_app” și „crypto”) sau vizează în mod specific mediile phpMyAdmin, inclusiv „root”, „wordpress” și „wpuser”.
Atacatorii mențin un set de parole relativ mic și stabil pentru fiecare campanie, actualizând listele per sarcină din acea bază, în timp ce rotesc numele de utilizator și adăugările de nișă de mai multe ori pe săptămână. Atacurile FTP sunt tratate diferit: fișierul binar bruteforcer conține un set de credențiale codificate în mod fix care se potrivește îndeaproape cu stivele de găzduire web și conturile de serviciu implicite.
Lanțul de infecții și capacitățile botnet-urilor
Intruziunile observate încep cel mai adesea cu un serviciu FTP expus la internet pe un server XAMPP. Odată ce accesul este obținut, atacatorii încarcă un shell web PHP. Acest shell este apoi utilizat pentru a prelua și executa un bot IRC actualizat prin intermediul unui script shell adaptat arhitecturii gazdei.
După compromitere, un sistem infectat poate fi reutilizat în mai multe moduri:
- Rulează module brute-force pentru a încerca autentificări prin servicii FTP, MySQL, PostgreSQL și phpMyAdmin pe internet.
- Găzduiește și distribuie sarcini utile malițioase către mașinile recent compromise.
- Oferă endpoint-uri de comandă și control în stil IRC sau funcționează ca un server C2 de rezervă pentru a îmbunătăți rezistența botnet-urilor.
Dovezi directe ale operațiunilor axate pe blockchain
Investigații ulterioare au relevat că cel puțin un server compromis instala un modul specializat conceput pentru a parcurge o listă de adrese blockchain TRON. Folosind serviciul public tronscanapi.com, malware-ul a interogat soldurile conturilor pentru a identifica portofelele care dețineau fonduri diferite de zero. Această capacitate sugerează cu tărie o recunoaștere deliberată care vizează proiectele blockchain și infrastructura legată de criptomonede, mai degrabă decât o scanare oportunistă exclusivă.
O lecție persistentă pentru apărători
GoBruteforcer ilustrează o problemă de securitate mai amplă și continuă: intersecția periculoasă dintre servicii expuse, acreditări slabe sau reciclate și instrumente de atac din ce în ce mai automatizate. Deși botnet-ul în sine nu este revoluționar din punct de vedere tehnic, operatorii săi beneficiază enorm de volumul mare de servere configurate greșit, încă accesibile pe internetul public.
Pentru apărători, această campanie întărește un mesaj familiar, dar esențial: eliminați acreditările implicite, restricționați interfețele administrative, renunțați la stivele vechi și tratați exemplele de implementare generate de inteligența artificială ca puncte de plecare nesigure, mai degrabă decât ca configurații pregătite pentru producție.
