Uma botnet conhecida como GoBruteforcer está mirando servidores mal protegidos em ataques ligados ao roubo de criptomoedas, segundo Check Point . A empresa afirmou que o malware está sendo usado para comprometer sistemas Linux expostos por meio de adivinhação bruta de senhas, e depois reutilizar essas máquinas para expandir a botnet e suportar novas intrusões.
A Check Point disse que o GoBruteforcer escaneia a internet em busca de serviços públicos que normalmente são mal configurados ou protegidos com credenciais fracas. Esses incluem ferramentas de banco de dados e administração e outros serviços de servidor que podem ser acessados remotamente. Uma vez identificado um alvo, o botnet tenta combinações repetidas de login até obter acesso. Sistemas comprometidos são então usados como nós adicionais para realizar varreduras e atividades de força bruta contra novos alvos.
O malware é escrito na linguagem de programação Go e projetado para rodar em diversos ambientes Linux. A Check Point afirmou que os operadores focam em sistemas onde controles básicos de segurança não foram aplicados, como senhas padrão não alteradas, políticas de senhas fracas e serviços desnecessários expostos à internet. O sucesso da botnet depende de credenciais previsíveis e acesso aberto às interfaces de gerenciamento.
Após obter acesso, o GoBruteforcer pode instalar componentes adicionais e manter a persistência, permitindo que os atacantes mantenham o controle sobre o servidor. A Check Point afirmou que a campanha está ligada a atividades voltadas para identificar e acessar infraestrutura relacionada a criptomoedas, incluindo serviços que podem armazenar informações de carteiras ou fornecer caminhos para transferir ativos digitais. A empresa afirmou que os ataques podem levar a transações não autorizadas se credenciais de carteira ou chaves de acesso forem obtidas.
A atividade do botnet também aumenta o risco além do alvo imediato. Servidores comprometidos podem ser usados como parte de uma rede mais ampla para lançar novos ataques, ocultar a origem de tráfego malicioso e aumentar a escala das tentativas de força bruta. A Check Point afirmou que isso pode dificultar a detecção para os defensores, especialmente quando os sistemas infectados são servidores legítimos que continuam operando normalmente.
A campanha destaca como fraquezas básicas de segurança continuam sendo um ponto comum de entrada para o cibercrime. A Check Point afirmou que as organizações podem reduzir a exposição desativando serviços públicos desnecessários, restringindo o acesso administrativo, aplicando senhas fortes e únicas, e monitorando falhas repetidas de login. A aplicação regular de correções e revisão dos serviços expostos também são importantes para limitar as oportunidades de ataques automatizados.
A Check Point disse que o GoBruteforcer reflete um padrão mais amplo de atacantes focados em infraestrutura fácil de comprometer e capaz de suportar novas atividades maliciosas. A empresa afirmou que o botnet permanece ativo e continua procurando sistemas vulneráveis.