Se ha detectado una nueva red de bots basada en Go que escanea y aplica fuerza bruta a sitios web autohospedados que utilizan el sistema de administración de contenido (CMS) de WordPress para tomar el control de los sistemas objetivo.
«Este nuevo fuerza bruta es parte de una nueva campaña que hemos llamado GoTrim porque fue escrito en Go y usa ‘:::trim:::’ para dividir los datos comunicados hacia y desde el servidor C2», los investigadores de Fortinet FortiGuard Labs, Eduardo Altares. , Joie Salvio y Roy Tay dijo.
La campaña activa, observada desde septiembre de 2022, utiliza una red de bots para realizar ataques distribuidos de fuerza bruta en un intento de iniciar sesión en el servidor web objetivo.
Después de una intrusión exitosa, el operador instala un script PHP de descarga en el host recientemente comprometido que, a su vez, está diseñado para implementar el «cliente bot» desde una URL codificada, agregando efectivamente la máquina a la red en crecimiento.
En su forma actual, GoTrim no tiene capacidades de autopropagación propias, ni puede distribuir otro malware o mantener la persistencia en el sistema infectado.
El objetivo principal del malware es recibir más comandos de un servidor controlado por un actor que incluyen la realización de ataques de fuerza bruta contra WordPress y OpenCart utilizando las credenciales proporcionadas.
GoTrim puede funcionar alternativamente en un modo de servidor donde inicia un servidor para escuchar las solicitudes entrantes enviadas por el actor de amenazas a través del servidor de comando y control (C2). Sin embargo, esto solo ocurre cuando el sistema violado está directamente conectado a Internet.
Otra característica clave del malware de botnet es su capacidad para imitar solicitudes legítimas del navegador Mozilla Firefox en Windows de 64 bits para eludir las protecciones anti-bot, además de resolver las barreras CAPTCHA presentes en los sitios de WordPress.
«Aunque este malware todavía es un trabajo en progreso, el hecho de que tiene un fuerza bruta de WordPress completamente funcional combinado con sus técnicas de evasión anti-bot lo convierte en una amenaza a tener en cuenta», dijeron los investigadores.
«Las campañas de fuerza bruta son peligrosas, ya que pueden comprometer el servidor y la implementación de malware. Para mitigar este riesgo, los administradores de sitios web deben asegurarse de que las cuentas de usuario (especialmente las cuentas de administrador) usen contraseñas seguras».