Novo malware visa servidores FTP, phpMyAdmin, MySQL e Postgres

Da Redação
13/03/2023

Pesquisadores da Unit 42 da Palo Alto Networks descobriram uma nova cepa de malware baseada na linguagem Go que está sendo usada para atacar servidores web que executam os serviços phpMyAdmin, MySQL, FTP e Postgres. Apelidado de “GoBruteforcer”, o malware usa técnicas de força bruta para comprometer servidores e enredá-los em uma botnet. O malware é compatível com as arquiteturas x86, x64 e ARM.

“Para uma execução bem-sucedida, as cepas exigem condições especiais no sistema da vítima, como argumentos específicos sendo usados e serviços direcionados já instalados [com senhas fracas]”, de acordo com o relatório da Unit 42.

Os pesquisadores não foram capazes de identificar o vetor inicial do GoBruteforcer e da campanha de shell da web PHP. Eles acreditam que o GoBruteforcer ainda está em desenvolvimento, o que significa que os vetores iniciais de infecção ou cargas úteis podem mudar em um futuro próximo.

Para cada endereço IP direcionado, o malware começa a escanear os serviços phpMyAdmin, MySQL, FTP e Postgres. Depois de detectar uma porta aberta aceitando conexões, ele tenta fazer login usando credenciais codificadas.

“O GoBruteforcer escolheu um bloco Classless Inter-Domain Routing [CIDR] para escanear a rede durante o ataque e teve como alvo todos os endereços IP dentro desse intervalo CIDR. O operador da ameaça escolheu a varredura de blocos CIDR como uma forma de obter acesso a uma ampla gama de hosts de destino em diferentes IPs dentro de uma rede, em vez de usar um único endereço IP como alvo”, explica a equipe de pesquisa.

Veja isso
Grupo usa bug em servidor web para violar empresas de energia
Estudo com 10 milhões de servidores VPN exibe falhas graves

Depois que o servidor de destino é comprometido, o GoBruteforcer implanta um bot de IRC contendo a URL do invasor e tenta consultar o sistema da vítima usando um PHP web shell já implantado no servidor.

“Os servidores da Web sempre foram um alvo lucrativo para os operadores de ameaças. Senhas fracas podem levar a sérias ameaças, pois os servidores da Web são uma parte indispensável de uma organização”, disseram os pesquisadores. “Malware como GoBruteforcer tira proveito de senhas fracas (ou padrão). O bot GoBruteforcer vem com uma capacidade multiscan, que oferece uma ampla gama de alvos que ele pode usar para entrar em uma rede.”

Compartilhar: