Fecha de publicación: Mar, 28/03/2023 - 11:01

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

Un nuevo malware de botnet basado en Golang recientemente descubierto por investigadores de Palo Alto busca e infecta servidores web que ejecutan servicios phpMyAdmin, MySQL, FTP y Postgres.

GoBruteforcer es un tipo de malware diseñado específicamente para atacar plataformas similares a Unix que ejecutan arquitecturas x86, x64 y ARM. El malware intenta obtener acceso a estos servicios a través de un ataque de fuerza bruta utilizando una lista de credenciales que están codificadas en el binario. Si tiene éxito, el malware implementa un bot IRC (internet relay chat) en el servidor de las víctimas para establecer comunicación con un servidor controlado por el actor.

Además de usar un ataque de fuerza bruta, GoBruteforcer también aprovecha un shell web de PHP que ya está instalado en el servidor de la víctima. Esto permite que el malware recopile más información sobre la red objetivo.

Los investigadores de seguridad han notado que las tácticas y técnicas del malware están evolucionando activamente, lo que indica que los desarrolladores detrás de él trabajan continuamente para evadir la detección y mejorar la efectividad de sus ataques.

Recursos afectados

Los servicios objetivo de GoBruteforcer son:

  • phpMyAdmin
  • MySQL
  • FTP
  • Postgres

Indicadores de compromiso

Hashes

de7994277a81cf48f575f7245ec782c82452bb928a55c7fae11c2702cc308b8b Web shell
602129f00bb002f07db07affa78d46f67bd0b2c8fb0867ea2da5fc3e73dd2665 Web shell
acc705210814ff5156957c028a8d6544deaca0555156504087fdc61f015d6834 Older version of GoBruteforcer
426b573363277554c7c8a04da524ddbf57c5ff570ea23017bdc25d0c7fd80218 IRC bot(x86)
726ccd223a1cfb60fc6c3b48ea3dbf057da918efac5acf620cd026ee38fb0044 IRC bot(ARM)
526767fbb26c911601371745d603885b75deabcc18261ed2d5a509d58f95d28e GoBruteforcer (x86_64)
dd3555025957cd51cd048d920027a0ff2d5501bc85792529217d54086e9351c2 GoBruteforcer (x86_64)
df7dc0fe7e90a2414ac188c55d06ad3882cfc7394869c9ffa549fb1ddb304919 GoBruteforcer (x86_64)
ebe11121aafdac5d8f2eecba710ba85efa31617a5eb825ba2e89e23379b26b84 GoBruteforcer (x86_64)
5548935e7c6cf3b38240a0579cac36906e9883a1ec5e85335609e9e2062588c5 GoBruteforcer ARM(64-bit)
5627b138bc857081d2251edd7eb3b68cbd58dfff2f51b7cd34c893fffff2cfab GoBruteforcer ARM(64-bit)
5c1d3fb43e9e35b835e62e05a7b97ed66ab132eab35bfc18ce543e8f58ccf5e2 GoBruteforcer ARM(32-bit)
7c27ac0daba19de227fcc467abfcdefa99426c768a3601b1b181e9741717665b GoBruteforcer (x86)

 

URL e IP

  • 5.253[.]84.159/x
  • fi[.]armachine[.]su

Recomendaciones

  • Publicar los servicios a internet sólo si es estrictamente necesario.
  • Utilizar contraseñas robustas en servicios y sistema operativo
  • Implementar listas de control de acceso.
  • Mantener actualizadas el software del sistema operativo y software de aplicación

Referencias

Nuevo malware de botnet basado en Golang afecta a servidores web

GoBruteforcer: Golang-Based Botnet Actively Harvests Web Servers