Resumo
Pesquisadores documentaram uma nova variante do botnet escrito em Go denominada GoBruteforcer que tem atacado servidores Linux expostos, realizando ataques de brute‑force contra serviços como FTP, MySQL, PostgreSQL e phpMyAdmin. A campanha combina módulos (web shells, downloaders, IRC bots e componentes de brute‑force) e, segundo a investigação citada, pode afetar dezenas de milhares de servidores.
Descoberta e escopo
Check Point Research identificou uma variante de 2025 do GoBruteforcer com avanços técnicos relevantes em relação a versões anteriores. A análise aponta que mais de 50.000 servidores expostos podem estar vulneráveis a campanhas desse tipo, levando em conta que existem milhões de instâncias de serviços como FTP (≈5,7M), MySQL (≈2,23M) e PostgreSQL (≈560k) acessíveis nas portas padrão, conforme os dados citados pela investigação.
Arquitetura e capacidades técnicas
- Modularidade: cadeia de infecção composta por web shells, downloaders, bots IRC e módulos de brute‑force.
- Obfuscação e evasão: componente IRC reescrito em Go e ofuscado (Garbler); uso de prctl e sobrescrita de argv para mascarar processos.
- Escala: hosts infectados escaneiam ~20 IPs por segundo; consumo de largura de banda baixo durante campanhas (≈64 kb/s outbound, 32 kb/s inbound em campanhas FTP).
- Operação multi‑arquitetura: módulos e bruteforcers disponíveis para x86, x64, arm e arm64 com verificação de checksum MD5 nas transferências.
Vetor de sucesso: credenciais fracas e defaults gerados por IA
Os operadores exploram dois vetores críticos: reutilização massiva de exemplos de configuração gerados por modelos de linguagem (que propagam nomes de usuário e padrões fracos) e pilhas legadas como XAMPP com pouca hardening. Listas de credenciais transmitem cerca de 200 combinações por tarefa e derivam de um banco de 375‑600 senhas fracas acrescidas de variantes "username flavored" (ex.: appuser1234).
Campanhas direcionadas e monetização
Além de campanhas de spray genéricas, foram observadas operações focadas em cripto: ferramentas para varredura de saldos TRON e sweepers para TRON/Binance Smart Chain. Em um caso, investigadores recuperaram um arquivo com ≈23.000 endereços TRON e verificaram on‑chain que houve exfiltração de fundos.
Indicadores e resiliência operacional
O relatório inclui IOCs de rede (ex.: 190.14.37[.]10, 93.113.25[.]114) e vários hashes SHA‑256 para os binários de IRC e bruteforcer em diferentes arquiteturas. O botnet mantém múltiplos mecanismos de recuperação (endereços C2 fallback hardcoded, caminhos de recuperação por domínio e promoção de hosts infectados a distribuidores/relays IRC).
Impacto e recomendações
O grande número de serviços expostos torna economicamente viável o brute‑force mesmo com taxas de sucesso reduzidas. Mitigações apontadas no material analisado incluem políticas de senha fortes, desabilitar serviços desnecessários expostos à Internet, imposição de MFA para administradores e monitoramento de tentativas de login anômalas. Para XAMPP e stacks de desenvolvimento, o aconselhado é remover credenciais default, restringir bindings a interfaces internas e aplicar controles de acesso para phpMyAdmin e FTP.
Limites e dados em falta
O relatório mostra escala e IOCs, mas não fornece métricas públicas detalhadas sobre número de hosts confirmadamente comprometidos por campanha (além das estimativas de supostamente vulneráveis) nem atribuição a grupos específicos. Também faltam detalhes operacionais completos sobre vetores de entrega iniciais além do uso de web shells e downloads.
Conclusão
GoBruteforcer representa uma ameaça ampla para servidores Linux expostos que ainda usam credenciais fracas ou defaults. A combinação de técnicas de ofuscação, modularidade e interesse financeiro (varreduras cripto) torna a campanha relevante para times de segurança responsáveis por aplicações web, bancos de dados e stacks legados.