Una botnet malware chiamata GoBruteforcer è in grado di compromettere server Linux e trasformarli in nodi automatizzati per il cracking delle password, secondo la società di cybersecurity. Il programma di hacking ha colpito infrastrutture utilizzate da progetti crypto, inclusi server di database, servizi di trasferimento file e pannelli di amministrazione web.
GoBrut può scansionare Internet alla ricerca di servizi scarsamente protetti e tentare di accedervi utilizzando nomi utente popolari e password deboli. Una volta compromesso un sistema, questo viene aggiunto a una rete distribuita che può essere accessibile da remoto da una rete di hacker.
La botnet GoBruteforcer può violare password poco pensate
Secondo il report di Check Point pubblicato mercoledì scorso, la botnet può aggirare le protezioni di servizi come FTP, MySQL, PostgreSQL e phpMyAdmin. Questi programmi sono utilizzati da startup blockchain e sviluppatori di app decentralizzate per gestire dati degli utenti, logica delle applicazioni e dashboard interne.
I sistemi violati da GoBrute possono accettare comandi da un server di comando e controllo, decidendo quale servizio attaccare e fornendo credenziali per tentativi di brute-force. I dettagli di login scoperti vengono riutilizzati per accedere ad altri sistemi, rubare dati privati, creare account nascosti e ampliare la portata della botnet.
Check Point ha inoltre menzionato che gli host infetti possono essere riutilizzati per ospitare payload dannosi, distribuire malware a nuove vittime o diventare server di controllo di backup se il sistema principale subisce interruzioni.
Oggi molti team di sviluppo, inclusi quelli di grandi aziende tecnologiche come Microsoft e Amazon, utilizzano snippet di codice e guide di configurazione generate da large language model (LLM) o copiate da forum online.
Check Point ha spiegato che, poiché i modelli IA non possono creare nuove password e solitamente imitano ciò che è stato loro insegnato, rendono nomi utente e password predefinite molto prevedibili, senza cambiarli abbastanza rapidamente prima che i sistemi siano esposti a Internet.
Il problema si aggrava ulteriormente quando vengono utilizzati stack web legacy come XAMPP, che possono esporre i servizi amministrativi di default e fornire un facile punto d’ingresso per gli hacker.
Le campagne GoBruteforcer sono iniziate nel 2023, secondo la ricerca di Unit 42
GoBruteforcer è stato documentato per la prima volta a marzo 2023 da Unit 42 di Palo Alto Networks, che ha dettagliato la sua capacità di compromettere sistemi Unix-like con architetture x86, x64 e ARM. Il malware distribuisce un bot Internet Relay Chat e una web shell, che gli attaccanti utilizzano per mantenere l’accesso remoto.
A settembre 2025, i ricercatori dei Black Lotus Labs di Lumen Technologies hanno scoperto che una parte delle macchine infette collegate a un’altra famiglia di malware, SystemBC, erano anche nodi GoBruteforcer. Gli analisti di Check Point hanno confrontato le liste di password utilizzate negli attacchi con un database di circa 10 milioni di credenziali trapelate e hanno trovato una sovrapposizione di circa il 2,44%.
Sulla base di questa sovrapposizione, hanno stimato che decine di migliaia di server di database potrebbero accettare una delle password utilizzate dalla botnet. Il rapporto Cloud Threat Horizons 2024 di Google ha rilevato che credenziali deboli o assenti erano responsabili del 47,2% dei vettori di accesso iniziale negli ambienti cloud violati.
La ricognizione su blockchain e IA espone dati privati, secondo la ricerca
Nei casi in cui GoBrute è stato rintracciato in ambienti di criptovalute, gli hacker di rete hanno usato nomi utente e varianti di password a tema crypto che seguivano le convenzioni di denominazione dei progetti blockchain. Altre campagne hanno preso di mira pannelli phpMyAdmin collegati a siti WordPress, un servizio utilizzato per siti web di progetto e dashboard.
“Alcuni compiti sono chiaramente focalizzati sul settore. Ad esempio, abbiamo osservato un attacco che utilizzava nomi utente a tema crypto come cryptouser, appcrypto, crypto_app e crypto. In queste esecuzioni, le password usate combinavano la lista standard di password deboli con ipotesi specifiche per il settore crypto, come cryptouser1 o crypto_user1234,” ha dichiarato Check Point, menzionando esempi di password.
Check Point ha identificato un server compromesso utilizzato per ospitare un modulo che scansionava indirizzi blockchain TRON e interrogava i saldi tramite una API blockchain pubblica per identificare wallet contenenti fondi.
“La combinazione di infrastrutture esposte, credenziali deboli e strumenti sempre più automatizzati. Sebbene la botnet stessa sia tecnicamente semplice, i suoi operatori beneficiano del numero di servizi mal configurati online,” ha scritto la società di sicurezza.
Se stai leggendo questo, sei già un passo avanti. Rimani aggiornato con la nostra newsletter.
