Se ha encontrado un nuevo malware basado en Golang denominado GoBruteforcer dirigido a servidores web que ejecutan phpMyAdmin, MySQL, FTP y Postgres para acorralar los dispositivos en una red de bots.
«GoBruteforcer eligió un bloque de enrutamiento entre dominios sin clase ( CIDR ) para escanear la red durante el ataque, y apuntó a todas las direcciones IP dentro de ese rango CIDR», dijeron los investigadores de la Unidad 42 de Palo Alto Networks .
«El actor de amenazas eligió el escaneo de bloques CIDR como una forma de obtener acceso a una amplia gama de hosts objetivo en diferentes IP dentro de una red en lugar de usar una sola dirección IP como objetivo».
El malware está diseñado principalmente para seleccionar plataformas similares a Unix que ejecutan arquitecturas x86, x64 y ARM, con GoBruteforcer intentando obtener acceso a través de un ataque de fuerza bruta utilizando una lista de credenciales codificadas en el binario.
Si el ataque resulta exitoso, se implementa un bot de chat de retransmisión de Internet ( IRC ) en el servidor de la víctima para establecer comunicaciones con un servidor controlado por el actor.
GoBruteforcer también aprovecha un shell web PHP ya instalado en el servidor de la víctima para obtener más detalles sobre la red objetivo.
Dicho esto, el vector de intrusión inicial exacto utilizado para entregar tanto GoBruteforcer como el shell web de PHP aún no se ha determinado. Los artefactos recopilados por la empresa de ciberseguridad sugieren esfuerzos de desarrollo activos para evolucionar sus tácticas y evadir la detección.
Los hallazgos son otra indicación de cómo los actores de amenazas están adoptando cada vez más Golang para desarrollar malware multiplataforma. Además, la capacidad de escaneo múltiple de GoBruteforcer le permite violar un amplio conjunto de objetivos, lo que lo convierte en una amenaza potente.
«Los servidores web siempre han sido un objetivo lucrativo para los actores de amenazas», dijo la Unidad 42. «Las contraseñas débiles podrían generar amenazas graves, ya que los servidores web son una parte indispensable de una organización. El malware como GoBruteforcer se aprovecha de las contraseñas débiles (o predeterminadas)».
Fuente y redacción: thehackernews.com
