Un malware de botnet basado en Golang recientemente descubierto busca e infecta servidores web que ejecutan servicios phpMyAdmin, MySQL, FTP y Postgres.
Según los investigadores de la Unidad 42 de Palo Alto Networks, que lo detectaron por primera vez y lo llamaron GoBruteforcer, el malware es compatible con las arquitecturas x86, x64 y ARM.
GoBruteforcer aplicará fuerza bruta a las cuentas con contraseñas débiles o predeterminadas para piratear dispositivos vulnerables * nix.
"Para una ejecución exitosa, las muestras requieren condiciones especiales en el sistema de la víctima, como el uso de argumentos específicos y la instalación de servicios específicos (con contraseñas débiles)", dijeron los investigadores .
Para cada dirección IP objetivo, el malware comienza a buscar servicios phpMyAdmin, MySQL, FTP y Postgres. Después de detectar un puerto abierto que acepta conexiones, intentará iniciar sesión con credenciales codificadas.
Una vez dentro, implementa un bot de IRC en sistemas phpMyAdmin comprometidos o un shell web de PHP en servidores que ejecutan otros servicios específicos.
En la siguiente fase del ataque, GoBruteforcer se comunicará con su servidor de comando y control y esperará las instrucciones que se entregarán a través del bot IRC o shell web previamente instalado.
La botnet utiliza un módulo de escaneo múltiple para encontrar víctimas potenciales dentro de un enrutamiento entre dominios sin clase (CIDR), lo que le otorga una amplia selección de objetivos para infiltrarse en las redes.
Antes de escanear en busca de direcciones IP para atacar, GoBruteforcer elige un bloque CIDR y apuntará a todas las direcciones IP dentro de ese rango.
En lugar de apuntar a una sola IP, el malware utiliza el escaneo de bloques CIDR para acceder a una amplia gama de hosts en varias direcciones IP, lo que aumenta el alcance del ataque.
Es probable que GoBruteforcer esté en desarrollo activo, y se espera que sus operadores adapten sus tácticas y las capacidades del malware para apuntar a los servidores web y mantenerse a la vanguardia de las defensas de seguridad.
"Hemos visto que este malware implementa de forma remota una variedad de diferentes tipos de malware como cargas útiles, incluidos los mineros de monedas", agregó Unit42.
"Creemos que GoBruteforcer está en desarrollo activo y, como tal, cosas como los vectores de infección iniciales o las cargas útiles podrían cambiar en el futuro cercano".