GoBruteforcer: malware che fa bruteforce a server di phpMyAdmin, MySQL, FTP e Postgres

È stato scoperto un nuovo malware chiamato GoBruteforcer che utilizza attacchi di forza bruta per prendere di mira i server web che utilizzano phpMyAdmin, MySQL, FTP e Postgres, al fine di creare una botnet. Il malware è scritto in Golang e scandisce la rete utilizzando un blocco di indirizzi IP senza classe (CIDR) per prendere di mira tutti gli indirizzi IP all’interno di quel range. Si concentra principalmente su piattaforme simili a Unix che eseguono architetture x86, x64 e ARM e tenta di ottenere l’accesso tramite attacchi di forza bruta utilizzando un elenco di credenziali codificate nel binario. Se avviene con successo, viene distribuito un bot di internet relay chat (IRC) sul server vittima per stabilire comunicazioni con un server controllato dall’attore. GoBruteforcer utilizza anche una shell web PHP già installata nel server vittima per raccogliere ulteriori informazioni sulla rete mirata. Al momento non è noto il vettore di intrusione iniziale utilizzato per distribuire il malware e la shell web PHP, ma sono in corso sforzi di sviluppo attivo per evolvere le tattiche e sfuggire alla rilevazione. L’uso di Golang da parte degli attori delle minacce per lo sviluppo di malware multi-piattaforma sta aumentando, e la capacità di multi-scansione di GoBruteforcer lo rende una minaccia potente.