Ein Malware-Botnet namens GoBruteforcer ist laut dem Cybersicherheitsunternehmen in der Lage, Linux-Server zu kompromittieren und sie in automatisierte Passwortknack-Knoten zu verwandeln. Das Hacking-Programm hat Infrastrukturen betroffen, die von Krypto-Projekten genutzt werden, darunter Datenbankserver, Dateitransferdienste und Web-Administrationspanels.
GoBrut kann das Internet nach schlecht gesicherten Diensten durchsuchen und versuchen, sich mit gängigen Benutzernamen und schwachen Passwörtern bei Diensten anzumelden. Sobald ein System kompromittiert ist, wird es zu einem verteilten Netzwerk hinzugefügt, das von einem Netzwerk von Hackern aus der Ferne angesteuert werden kann.
GoBruteforcer-Botnet kann schwach konzipierte Passwörter hacken
Laut dem von Check Point veröffentlichten Bericht vom vergangenen Mittwoch kann das Botnet Schutzmechanismen in Diensten wie FTP, MySQL, PostgreSQL und phpMyAdmin umgehen. Diese Programme werden von Blockchain-Startups und Entwicklern dezentraler Apps verwendet, um Benutzerdaten, Anwendungslogik und interne Dashboards zu verwalten.
Von GoBrute gehackte Systeme können Befehle von einem Command-and-Control-Server empfangen, der vorgibt, welcher Dienst angegriffen werden soll, und Zugangsdaten für Brute-Force-Versuche bereitstellt. Die aufgedeckten Zugangsdaten werden erneut verwendet, um auf andere Systeme zuzugreifen, private Daten zu stehlen, versteckte Konten zu erstellen und die Reichweite des Botnets zu vergrößern.
Check Point erwähnte außerdem, dass infizierte Hosts auch umfunktioniert werden können, um schädliche Nutzdaten zu hosten, Malware an neue Opfer zu verteilen oder als Backup-Kontrollserver zu dienen, falls das Kernsystem Ausfallzeiten hat.
Viele Entwicklungsteams, darunter auch solche von großen Tech-Unternehmen wie Microsoft und Amazon, verwenden nun von großen Sprachmodellen (LLMs) generierte Codebeispiele und Einrichtungsanleitungen oder kopieren diese aus Online-Foren.
Check Point erklärte, dass KI-Modelle keine neuen Passwörter erstellen können und in der Regel das nachahmen, was ihnen beigebracht wurde. Dadurch werden Benutzernamen und Standardpasswörter sehr vorhersehbar, und sie werden nicht schnell genug geändert, bevor Systeme dem Internet ausgesetzt werden.
Das Problem wird noch gravierender, wenn veraltete Web-Stacks wie XAMPP verwendet werden, die standardmäßig administrative Dienste freilegen und Hackern einen einfachen Einstiegspunkt bieten.
GoBruteforcer-Kampagnen begannen 2023, wie Unit 42 herausfand
GoBruteforcer wurde erstmals im März 2023 von Unit 42 von Palo Alto Networks dokumentiert, die seine Fähigkeit beschrieb, Unix-ähnliche Systeme mit x86-, x64- und ARM-Architekturen zu kompromittieren. Die Malware setzt einen Internet Relay Chat Bot und eine Web Shell ein, die Angreifer nutzen, um ihren Fernzugriff aufrechtzuerhalten.
Im September 2025 stellten Forscher von Lumen Technologies' Black Lotus Labs fest, dass ein Teil der infizierten Maschinen, die mit einer anderen Malware-Familie, SystemBC, verbunden waren, ebenfalls GoBruteforcer-Knoten waren. Check Point Analysten verglichen die in Angriffen verwendeten Passwortlisten mit einer Datenbank von etwa 10 Millionen geleakten Zugangsdaten und fanden eine Überlappung von etwa 2,44 %.
Basierend auf dieser Überlappung schätzten sie, dass Zehntausende Datenbankserver eines der vom Botnet verwendeten Passwörter akzeptieren könnten. Googles Cloud Threat Horizons Bericht für 2024 ergab, dass schwache oder fehlende Zugangsdaten für 47,2 % der anfänglichen Zugriffsvektoren in kompromittierten Cloud-Umgebungen verantwortlich waren.
Blockchain- und KI-Aufklärung legt private Daten offen, wie die Forschung zeigt
In Fällen, in denen GoBrute in Kryptowährungsumgebungen nachverfolgt wurde, verwendeten Netzwerkintruder kryptobezogene Benutzernamen und Passwortvarianten, die den Namenskonventionen von Blockchain-Projekten entsprachen. Andere Kampagnen zielten auf phpMyAdmin-Panels ab, die mit WordPress-Seiten verknüpft sind, einem Dienst für Projektwebseiten und Dashboards.
„Einige Aufgaben sind eindeutig sektorspezifisch. Beispielsweise beobachteten wir einen Angriff, der kryptobezogene Benutzernamen wie cryptouser, appcrypto, crypto_app und crypto verwendete. In diesen Durchläufen wurden die verwendeten Passwörter aus einer Standard-Weaklist mit krypto-spezifischen Vermutungen wie cryptouser1 oder crypto_user1234 kombiniert“, erklärte Check Point und nannte Beispiele für Passwörter.
Check Point identifizierte einen kompromittierten Server, der ein Modul hostete, das TRON-Blockchain-Adressen scannte und Guthaben über eine öffentliche Blockchain-API abfragte, um Wallets mit Guthaben zu identifizieren.
„Die Kombination aus offengelegter Infrastruktur, schwachen Zugangsdaten und zunehmend automatisierten Tools. Während das Botnet selbst technisch unkompliziert ist, profitieren seine Betreiber von der Vielzahl fehlkonfigurierter Dienste im Internet“, schrieb das Sicherheitsunternehmen.
Wenn Sie dies lesen, sind Sie bereits einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
