🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova onda de ataques GoBruteforcer teve como alvo bancos de dados de projetos de criptomoeda e blockchain para cooptá-los em uma botnet capaz de forçar senhas de usuários para serviços como FTP, MySQL, PostgreSQL e phpMyAdmin em servidores Linux.
“A atual onda de campanhas é impulsionada por dois fatores: a reutilização em massa de exemplos de implantação de servidores gerados por IA que propagam nomes de usuário comuns e padrões fracos, e a persistência de pilhas web legadas, como o XAMPP, que expõem interfaces FTP e administrativas com proteção mínima”, disse a Check Point Research em uma análise publicada na semana passada.
GoBruteforcer, também chamado de GoBrut, foi documentado pela primeira vez pela Palo Alto Networks Unit 42 em março de 2023, documentando sua capacidade de atingir plataformas semelhantes a Unix executando arquiteturas x86, x64 e ARM para implantar um bot Internet Relay Chat (IRC) e um web shell para acesso remoto, junto com a busca de um módulo de força bruta para verificar sistemas vulneráveis e expandir o alcance do botnet.
Um relatório subsequente da equipe Black Lotus Labs da Lumen Technologies em setembro de 2025 descobriu que uma parte dos bots infectados sob o controle de outra família de malware conhecida como SystemBC também fazia parte da botnet GoBruteforcer.
A Check Point disse que identificou uma versão mais sofisticada do malware Golang em meados de 2025, incluindo um bot de IRC fortemente ofuscado que foi reescrito na linguagem de programação multiplataforma, mecanismos de persistência aprimorados, técnicas de mascaramento de processos e listas dinâmicas de credenciais.
A lista de credenciais inclui uma combinação de nomes de usuário e senhas comuns (por exemplo, myuser:Abcd@123 ou appeaser:admin123456) que podem aceitar logins remotos. A escolha desses nomes não é casual, pois eles têm sido usados em tutoriais de banco de dados e documentação de fornecedores, todos usados para treinar modelos de linguagem grande (LLMs), fazendo com que produzam trechos de código com os mesmos nomes de usuário padrão.
Alguns dos outros nomes de usuário na lista são focados em criptomoedas (por exemplo, cryptouser, appcrypto, crypto_app e crypto) ou painéis alvo do phpMyAdmin (por exemplo, root, wordpress e wpuser).
“Os invasores reutilizam um conjunto de senhas pequeno e estável para cada campanha, atualizam listas por tarefa desse conjunto e alternam nomes de usuários e adições de nicho várias vezes por semana para perseguir alvos diferentes”, disse Check Point. "Ao contrário de outros serviços, a força bruta do FTP usa um pequeno conjunto de credenciais codificadas incorporadas no binário do bruteforcer. Esse conjunto integrado aponta para pilhas de hospedagem na web e contas de serviço padrão."
Na atividade observada pela Check Point, um serviço FTP exposto à Internet em servidores que executam o XAMPP é usado como vetor de acesso inicial para carregar um web shell PHP, que é então usado para baixar e executar uma versão atualizada do bot IRC usando um script de shell baseado na arquitetura do sistema. Depois que um host é infectado com sucesso, ele pode servir para três usos diferentes -
Execute o componente de força bruta para tentar logins com senha para FTP, MySQL, Postgres e phpMyAdmin na Internet
Hospedar e servir cargas úteis para outros sistemas comprometidos ou
Hospede endpoints de controle no estilo IRC ou atue como um comando e controle de backup (C2) para resiliência
Uma análise mais aprofundada da campanha determinou que um dos hosts comprometidos foi usado para preparar um módulo que itera através de uma lista de endereços de blockchain TRON e consulta saldos usando o serviço tronscanapi[.]com para identificar contas com fundos diferentes de zero. Isto indica um esforço concertado para atingir projetos de blockchain.
“GoBruteforcer exemplifica um problema mais amplo e persistente: a combinação de infraestrutura exposta, credenciais fracas e ferramentas cada vez mais automatizadas”, disse Check Point. “Embora a botnet em si seja tecnicamente simples, os seus operadores beneficiam do vasto número de serviços mal configurados que permanecem online.”
A divulgação ocorre no momento em que a GreyNoise revela que os agentes de ameaças estão sistematicamente escaneando a Internet em busca de servidores proxy mal configurados que possam fornecer acesso a serviços comerciais de LLM.
Das duas campanhas, uma aproveitou vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF) para atingir a funcionalidade de pull de modelo de Ollama e integrações de webhook SMS Twilio entre outubro de 2025 e janeiro de 2026. Com base no uso da infraestrutura OAST do ProjectDiscovery, postula-se que a atividade provavelmente se origina de pesquisadores de segurança ou caçadores de recompensas de bugs.
O segundo conjunto de atividades, começando em 28 de dezembro de 2025, é avaliado como um esforço de enumeração de alto volume para identificar endpoints LLM expostos ou mal configurados associados a Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI e xAI. A varredura originou-se dos endereços IP 45.88.186[.]70 e 204.76.203[.]125.
"A partir de 28 de dezembro de 2025, dois IPs lançaram uma investigação metódica de mais de 73 endpoints do modelo LLM", o th
“A atual onda de campanhas é impulsionada por dois fatores: a reutilização em massa de exemplos de implantação de servidores gerados por IA que propagam nomes de usuário comuns e padrões fracos, e a persistência de pilhas web legadas, como o XAMPP, que expõem interfaces FTP e administrativas com proteção mínima”, disse a Check Point Research em uma análise publicada na semana passada.
GoBruteforcer, também chamado de GoBrut, foi documentado pela primeira vez pela Palo Alto Networks Unit 42 em março de 2023, documentando sua capacidade de atingir plataformas semelhantes a Unix executando arquiteturas x86, x64 e ARM para implantar um bot Internet Relay Chat (IRC) e um web shell para acesso remoto, junto com a busca de um módulo de força bruta para verificar sistemas vulneráveis e expandir o alcance do botnet.
Um relatório subsequente da equipe Black Lotus Labs da Lumen Technologies em setembro de 2025 descobriu que uma parte dos bots infectados sob o controle de outra família de malware conhecida como SystemBC também fazia parte da botnet GoBruteforcer.
A Check Point disse que identificou uma versão mais sofisticada do malware Golang em meados de 2025, incluindo um bot de IRC fortemente ofuscado que foi reescrito na linguagem de programação multiplataforma, mecanismos de persistência aprimorados, técnicas de mascaramento de processos e listas dinâmicas de credenciais.
A lista de credenciais inclui uma combinação de nomes de usuário e senhas comuns (por exemplo, myuser:Abcd@123 ou appeaser:admin123456) que podem aceitar logins remotos. A escolha desses nomes não é casual, pois eles têm sido usados em tutoriais de banco de dados e documentação de fornecedores, todos usados para treinar modelos de linguagem grande (LLMs), fazendo com que produzam trechos de código com os mesmos nomes de usuário padrão.
Alguns dos outros nomes de usuário na lista são focados em criptomoedas (por exemplo, cryptouser, appcrypto, crypto_app e crypto) ou painéis alvo do phpMyAdmin (por exemplo, root, wordpress e wpuser).
“Os invasores reutilizam um conjunto de senhas pequeno e estável para cada campanha, atualizam listas por tarefa desse conjunto e alternam nomes de usuários e adições de nicho várias vezes por semana para perseguir alvos diferentes”, disse Check Point. "Ao contrário de outros serviços, a força bruta do FTP usa um pequeno conjunto de credenciais codificadas incorporadas no binário do bruteforcer. Esse conjunto integrado aponta para pilhas de hospedagem na web e contas de serviço padrão."
Na atividade observada pela Check Point, um serviço FTP exposto à Internet em servidores que executam o XAMPP é usado como vetor de acesso inicial para carregar um web shell PHP, que é então usado para baixar e executar uma versão atualizada do bot IRC usando um script de shell baseado na arquitetura do sistema. Depois que um host é infectado com sucesso, ele pode servir para três usos diferentes -
Execute o componente de força bruta para tentar logins com senha para FTP, MySQL, Postgres e phpMyAdmin na Internet
Hospedar e servir cargas úteis para outros sistemas comprometidos ou
Hospede endpoints de controle no estilo IRC ou atue como um comando e controle de backup (C2) para resiliência
Uma análise mais aprofundada da campanha determinou que um dos hosts comprometidos foi usado para preparar um módulo que itera através de uma lista de endereços de blockchain TRON e consulta saldos usando o serviço tronscanapi[.]com para identificar contas com fundos diferentes de zero. Isto indica um esforço concertado para atingir projetos de blockchain.
“GoBruteforcer exemplifica um problema mais amplo e persistente: a combinação de infraestrutura exposta, credenciais fracas e ferramentas cada vez mais automatizadas”, disse Check Point. “Embora a botnet em si seja tecnicamente simples, os seus operadores beneficiam do vasto número de serviços mal configurados que permanecem online.”
A divulgação ocorre no momento em que a GreyNoise revela que os agentes de ameaças estão sistematicamente escaneando a Internet em busca de servidores proxy mal configurados que possam fornecer acesso a serviços comerciais de LLM.
Das duas campanhas, uma aproveitou vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF) para atingir a funcionalidade de pull de modelo de Ollama e integrações de webhook SMS Twilio entre outubro de 2025 e janeiro de 2026. Com base no uso da infraestrutura OAST do ProjectDiscovery, postula-se que a atividade provavelmente se origina de pesquisadores de segurança ou caçadores de recompensas de bugs.
O segundo conjunto de atividades, começando em 28 de dezembro de 2025, é avaliado como um esforço de enumeração de alto volume para identificar endpoints LLM expostos ou mal configurados associados a Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI e xAI. A varredura originou-se dos endereços IP 45.88.186[.]70 e 204.76.203[.]125.
"A partir de 28 de dezembro de 2025, dois IPs lançaram uma investigação metódica de mais de 73 endpoints do modelo LLM", o th
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #botnet #gobruteforcer #tem #como #alvo #bancos #de #dados #de #projetos #criptográficos #explorando #credenciais #fracas
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário