Sebuah botnet malware bernama GoBruteforcer mampu mengkompromikan server Linux dan mengubahnya menjadi node otomatis untuk membobol password, kata perusahaan keamanan siber tersebut. Program peretasan ini telah mempengaruhi infrastruktur yang digunakan oleh proyek crypto, termasuk server basis data, layanan transfer file, dan panel administrasi web.
GoBrut dapat memindai internet untuk layanan yang kurang aman dan mencoba masuk ke layanan tersebut menggunakan nama pengguna populer dan kata sandi lemah. Setelah sistem berhasil diretas, sistem tersebut kemudian ditambahkan ke jaringan terdistribusi yang dapat diakses dari jarak jauh oleh jaringan peretas.
Botnet GoBruteforcer dapat membobol kata sandi yang kurang dipikirkan
Menurut laporan Check Point yang diterbitkan Rabu lalu, botnet ini dapat melewati perlindungan di layanan seperti FTP, MySQL, PostgreSQL, dan phpMyAdmin. Program-program ini digunakan oleh startup blockchain dan pengembang aplikasi terdesentralisasi untuk mengelola data pengguna, logika aplikasi, dan dasbor internal.
Sistem yang telah diretas oleh GoBrute dapat menerima perintah dari server command-and-control, menentukan layanan mana yang akan diserang sambil menyediakan kredensial untuk upaya brute-force. Detail login yang terungkap digunakan kembali untuk mengakses sistem lain, mencuri data pribadi, membuat akun tersembunyi, dan menambah jangkauan botnet.
Check Point juga menyebutkan bahwa host yang terinfeksi juga dapat digunakan kembali untuk menghosting payload berbahaya, mendistribusikan malware ke korban baru, atau menjadi server kontrol cadangan jika sistem inti mengalami gangguan.
Banyak tim pengembangan sekarang, termasuk dari perusahaan teknologi besar seperti Microsoft dan Amazon, menggunakan cuplikan kode dan panduan penyiapan yang dihasilkan oleh large language models (LLMs) atau disalin dari forum online.
Check Point menjelaskan bahwa karena model AI tidak dapat membuat kata sandi baru dan biasanya meniru apa yang telah mereka pelajari, mereka membuat nama pengguna dan kata sandi default sangat mudah ditebak, tidak mengubahnya cukup cepat sebelum sistem terekspos ke internet.
Masalah menjadi semakin serius ketika stack web lama seperti XAMPP digunakan, yang dapat mengekspos layanan administrasi secara default dan memberikan titik masuk yang mudah bagi peretas.
Kampanye GoBruteforcer dimulai pada 2023, menurut penelitian Unit 42
GoBruteforcer pertama kali didokumentasikan pada Maret 2023 oleh Unit 42 dari Palo Alto Networks, yang merinci kemampuannya mengkompromikan sistem Unix-like arsitektur x86, x64, dan ARM. Malware ini menerapkan Internet Relay Chat bot dan web shell, yang digunakan penyerang untuk menjaga akses jarak jauh mereka.
Pada September 2025, peneliti di Black Lotus Labs milik Lumen Technologies menemukan bahwa sebagian mesin yang terinfeksi dan terhubung ke keluarga malware lain, SystemBC, juga merupakan node GoBruteforcer. Analis Check Point membandingkan daftar kata sandi yang digunakan dalam serangan dengan basis data sekitar 10 juta kredensial bocor dan menemukan tumpang tindih sekitar 2,44%.
Berdasarkan tumpang tindih tersebut, mereka memperkirakan puluhan ribu server basis data dapat menerima salah satu kata sandi yang digunakan oleh botnet. Laporan Cloud Threat Horizons Google 2024 menemukan bahwa kredensial lemah atau hilang bertanggung jawab atas 47,2% vektor akses awal pada lingkungan cloud yang diretas.
Penelitian menemukan, pengintaian Blockchain dan AI mengekspos data pribadi
Dalam kasus di mana GoBrute dilacak di lingkungan cryptocurrency, peretas jaringan menggunakan nama pengguna bertema crypto dan varian kata sandi yang cocok dengan konvensi penamaan dari proyek blockchain. Kampanye lain menargetkan panel phpMyAdmin yang terhubung ke situs WordPress, sebuah layanan untuk situs dan dasbor proyek.
“Beberapa tugas jelas berfokus pada sektor tertentu. Misalnya, kami mengamati serangan yang menggunakan nama pengguna bertema crypto seperti cryptouser, appcrypto, crypto_app, dan crypto. Pada percobaan ini, kata sandi yang digunakan menggabungkan daftar lemah standar dengan tebakan khusus crypto seperti cryptouser1 atau crypto_user1234,” kata Check Point, menyebutkan contoh kata sandi.
Check Point mengidentifikasi sebuah server yang telah dikompromikan digunakan untuk menghosting modul yang memindai alamat blockchain TRON dan menanyakan saldo melalui API blockchain publik untuk mengidentifikasi dompet yang menyimpan dana.
“Kombinasi infrastruktur yang terekspos, kredensial lemah, dan alat yang semakin otomatis. Meskipun botnet itu sendiri secara teknis sederhana, operatornya diuntungkan dari banyaknya layanan yang salah konfigurasi secara online,” tulis perusahaan keamanan tersebut.
Jika Anda membaca ini, Anda sudah selangkah lebih maju. Tetap di sana dengan buletin kami.
