Un nuevo malware basado en Golang denominado GoBruteforcer se ha encontrado apuntando a servidores web que ejecutan phpMyAdmin, MySQL, FTP y Postgres para acorralar los dispositivos en una red de bots.
«GoBruteforcer eligió un enrutamiento entre dominios sin clases (CIDR) para escanear la red durante el ataque, y apuntó a todas las direcciones IP dentro de ese rango CIDR», investigadores de la Unidad 42 de Palo Alto Networks dicho.
«El actor de amenazas eligió el escaneo de bloques CIDR como una forma de obtener acceso a una amplia gama de hosts objetivo en diferentes IP dentro de una red en lugar de usar una sola dirección IP como objetivo».
El malware está diseñado principalmente para seleccionar plataformas similares a Unix que ejecutan arquitecturas x86, x64 y ARM, con GoBruteforcer intentando obtener acceso a través de un ataque de fuerza bruta utilizando una lista de credenciales codificadas en el binario.
Si el ataque resulta exitoso, un chat de retransmisión de Internet (IRC) bot se implementa en el servidor de la víctima para establecer comunicaciones con un servidor controlado por el actor.
GoBruteforcer también aprovecha un shell web PHP ya instalado en el servidor de la víctima para obtener más detalles sobre la red objetivo.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Dicho esto, el vector de intrusión inicial exacto utilizado para entregar tanto GoBruteforcer como el shell web de PHP aún no se ha determinado. Los artefactos recopilados por la empresa de ciberseguridad sugieren esfuerzos de desarrollo activos para evolucionar sus tácticas y evadir la detección.
Los hallazgos son otra indicación de cómo los actores de amenazas están adoptando cada vez más Golang para desarrollar malware multiplataforma. Además, la capacidad de escaneo múltiple de GoBruteforcer le permite violar un amplio conjunto de objetivos, lo que lo convierte en una amenaza potente.
«Los servidores web siempre han sido un objetivo lucrativo para los actores de amenazas», dijo la Unidad 42. «Las contraseñas débiles podrían generar amenazas graves, ya que los servidores web son una parte indispensable de una organización. El malware como GoBruteforcer se aprovecha de las contraseñas débiles (o predeterminadas)».