Ang isang malware botnet na tinatawag na GoBruteforcer ay kayang kompromisuhin ang mga Linux server at gawing automated password-cracking nodes, ayon sa cybersecurity company. Apektado ng hacking program na ito ang imprastruktura na ginagamit ng mga crypto projects, kabilang ang mga database server, file transfer services, at web administration panels.
Kayang i-scan ng GoBrut ang internet para sa mga serbisyong mahina ang seguridad at subukang mag-login gamit ang mga kilalang username at mahihinang password. Kapag nakompromiso ang isang sistema, ito ay idinadagdag sa isang distributed network na maaaring ma-access nang remote ng isang network ng mga hacker.
Kayang i-hack ng GoBruteforcer botnet ang mga hindi maayos na naisip na password
Ayon sa ulat ng Check Point na inilathala noong nakaraang Miyerkules, kayang lampasan ng botnet ang mga proteksyon sa mga serbisyo tulad ng FTP, MySQL, PostgreSQL, at phpMyAdmin. Ang mga programang ito ay ginagamit ng mga blockchain startup at decentralized app developers upang pamahalaan ang user data, application logic, at internal dashboards.
Ang mga sistemang nahack ng GoBrute ay maaaring tumanggap ng mga utos mula sa isang command-and-control server, na nagdidikta kung aling serbisyo ang aatakihin habang nagbibigay ng mga kredensyal para sa brute-force attempts. Ang mga nadiskubreng detalye ng pag-login ay muling ginagamit upang ma-access ang iba pang sistema, magnakaw ng pribadong data, lumikha ng mga nakatagong account, at palawakin ang saklaw ng botnet.
Binanggit din ng Check Point na ang mga infected na host ay maaaring gamitin muli upang mag-host ng mga malicious payload, magpakalat ng malware sa mga bagong biktima, o maging backup control servers kung sakaling makaranas ng downtime ang core system.
Maraming development teams ngayon, kabilang ang sa mga malalaking tech firms tulad ng Microsoft at Amazon, ay gumagamit ng mga code snippets at setup guides na gawa ng malalaking language models (LLMs) o kinopya mula sa mga online forum.
Ipinaliwanag ng Check Point na dahil hindi makagagawa ng mga bagong password ang mga AI model at karaniwang ginagaya lamang ang itinuro sa kanila, nagiging napakapredictable ng mga username at default password, at hindi agad ito nababago bago ma-expose ang mga sistema sa internet.
Lalong lumalala ang problema kapag ginagamit ang mga legacy web stack tulad ng XAMPP, na maaaring mag-expose ng administrative services bilang default at magbigay ng madaling entry point para sa mga hacker.
Nagsimula ang mga GoBruteforcer campaign noong 2023, natuklasan ng Unit 42 research
Unang naitala ang GoBruteforcer noong Marso 2023 ng Unit 42 ng Palo Alto Networks, na nagdetalye ng kakayahan nitong mag-kompromiso ng Unix-like systems x86, x64, at ARM architectures. Ang malware ay nagde-deploy ng Internet Relay Chat bot at web shell, na ginagamit ng attackers upang mapanatili ang kanilang remote access.
Noong Setyembre 2025, natuklasan ng mga mananaliksik ng Black Lotus Labs ng Lumen Technologies na ang ilang bahagi ng mga infected na makina na konektado sa isa pang malware family, ang SystemBC, ay mga GoBruteforcer nodes din. Kinumpara ng mga analyst ng Check Point ang mga password list na ginamit sa mga pag-atake laban sa database na may humigit-kumulang 10 milyong leaked credentials at natagpuan ang overlap na mga 2.44%.
Batay sa overlap na iyon, tinatayang sampu-sampung libong database server ang maaaring tumanggap ng isa sa mga password na ginagamit ng botnet. Natuklasan sa ulat ng Google na 2024 Cloud Threat Horizons na ang mahina o nawawalang mga kredensyal ay responsable sa 47.2% ng initial access vectors sa mga nabreach na cloud environment.
Inilalantad ng blockchain at AI reconnaissance ang pribadong data, ayon sa pananaliksik
Sa mga pagkakataong nasundan ang GoBrute sa mga cryptocurrency environment, ginamit ng mga network hacker ang mga crypto-themed username at password variant na tumutugma sa naming conventions mula sa mga blockchain project. Ang iba pang campaign ay tinarget ang mga phpMyAdmin panel na konektado sa mga WordPress site, isang serbisyo para sa mga project website at dashboard.
“May ilang gawain na malinaw na nakatuon sa sektor. Halimbawa, napansin namin ang isang pag-atake na gumamit ng mga crypto-themed username tulad ng cryptouser, appcrypto, crypto_app, at crypto. Sa mga run na ito, ang mga password na ginamit ay pinagsama ang karaniwang mahihinang listahan at mga crypto-specific na hula tulad ng cryptouser1 o crypto_user1234,” ayon sa Check Point, na binanggit ang mga halimbawa ng password.
Natukoy ng Check Point ang isang compromised server na ginagamit upang mag-host ng isang module na nag-scan ng TRON blockchain addresses at nag-query ng balances sa pamamagitan ng isang public blockchain API upang matukoy ang mga wallet na may hawak na pondo.
“Ang kombinasyon ng exposed infrastructure, mahihinang kredensyal, at lalong automated na mga tool. Bagama’t teknikal na simple ang botnet mismo, nakikinabang ang mga operator nito sa dami ng misconfigured na serbisyo online,” ayon sa security company.
Kung binabasa mo ito, nangunguna ka na. Manatiling nangunguna sa aming newsletter.
