Prognósticos sobre bug Log4Shell foram exagerados, diz estudo
Abin emite alerta sobre ações do ransomware NoEscape
Malware rouba dados bancários de 50 mil pessoas
EUA derrubam operação do ransomware ALPHV/BlackCat
Brasil segue na lista de países mais alvejados por hackers
Dona da Vans e North Face é atingida por ransomware
ALPHV/BlackCat é a 2ª cepa de ransomware mais predominante
Pesquisadores da Unit 42 da Palo Alto Networks descobriram uma nova cepa de malware baseada na linguagem Go que está sendo usada para atacar servidores web que executam os serviços phpMyAdmin, MySQL, FTP e Postgres. Apelidado de “GoBruteforcer”, o malware usa técnicas de força bruta para comprometer servidores e enredá-los em uma botnet. O malware é compatível com as arquiteturas x86, x64 e ARM.
“Para uma execução bem-sucedida, as cepas exigem condições especiais no sistema da vítima, como argumentos específicos sendo usados e serviços direcionados já instalados [com senhas fracas]”, de acordo com o relatório da Unit 42.
Os pesquisadores não foram capazes de identificar o vetor inicial do GoBruteforcer e da campanha de shell da web PHP. Eles acreditam que o GoBruteforcer ainda está em desenvolvimento, o que significa que os vetores iniciais de infecção ou cargas úteis podem mudar em um futuro próximo.
Para cada endereço IP direcionado, o malware começa a escanear os serviços phpMyAdmin, MySQL, FTP e Postgres. Depois de detectar uma porta aberta aceitando conexões, ele tenta fazer login usando credenciais codificadas.
“O GoBruteforcer escolheu um bloco Classless Inter-Domain Routing [CIDR] para escanear a rede durante o ataque e teve como alvo todos os endereços IP dentro desse intervalo CIDR. O operador da ameaça escolheu a varredura de blocos CIDR como uma forma de obter acesso a uma ampla gama de hosts de destino em diferentes IPs dentro de uma rede, em vez de usar um único endereço IP como alvo”, explica a equipe de pesquisa.
Veja isso
Grupo usa bug em servidor web para violar empresas de energia
Estudo com 10 milhões de servidores VPN exibe falhas graves
Depois que o servidor de destino é comprometido, o GoBruteforcer implanta um bot de IRC contendo a URL do invasor e tenta consultar o sistema da vítima usando um PHP web shell já implantado no servidor.
“Os servidores da Web sempre foram um alvo lucrativo para os operadores de ameaças. Senhas fracas podem levar a sérias ameaças, pois os servidores da Web são uma parte indispensável de uma organização”, disseram os pesquisadores. “Malware como GoBruteforcer tira proveito de senhas fracas (ou padrão). O bot GoBruteforcer vem com uma capacidade multiscan, que oferece uma ampla gama de alvos que ele pode usar para entrar em uma rede.”
Acompanhe em primeira mão as principais notícias de Segurança Cibernética
Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor
Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.
ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL
(para a newsletter não cair no SPAM)
