Gli esperti di Palo Alto Networks hanno scoperto un nuovo malware scritto in linguaggio Go che colpisce specifici web server. Lo scopo di GoBruteforcer, come si deduce dal nome, è rubare le password attraverso un attacco brute force. In base ai servizi presenti sul server viene installato un bot IRC o una web shell.
GoBruteforcer attacca i web server
GoBruteforcer colpisce principalmente web server con sistema operativo Linux e servizi phpMyAdmin, MySQL, FTP e Postgres. I ricercatori di Palo Alto Networks hanno individuato versioni per architetture x86, x64 e ARM. Il malware effettua prima la scansione di tutti gli indirizzi IP all’interno di un range Classless Inter-Domain Routing (CIDR) per cercare le “porte aperte” associate ai suddetti servizi.
Nel caso del servizio phpMyAdmin, se la porta 80 è aperta, GoBruteforcer prova ad effettuare il login al server tramite brute force, ovvero utilizzando le password scritte nel codice del malware. Ottenuto l’accesso, GoBruteforcer installa ed esegue un bot IRC (Internet Relay Chat) che permette di comunicare con il server C2 (command and control).
Nel caso dei servizi MySQL, Postgres e FTP, se le porte 3306, 5432 e 21 sono aperte, GoBruteforcer installa una web shell che consente ai cybercriminali di accedere alla rete interna. A questo punto è possibile distribuire ogni tipo di payload, dagli info-stealer ai miner di criptovalute. GoBruteforcer è attualmente in sviluppo, quindi verranno sicuramente aggiunte nuove funzionalità nei prossimi mesi.