Uma botnet de malware chamada GoBruteforcer é capaz de comprometer servidores Linux e transformá-los em nós automatizados de quebra de senhas, afirmou a empresa de cibersegurança. O programa de hacking afetou infraestruturas usadas por projetos de criptomoedas, incluindo servidores de banco de dados, serviços de transferência de arquivos e painéis de administração web.
O GoBrut consegue escanear a internet em busca de serviços mal protegidos e tenta acessar esses serviços utilizando nomes de usuário populares e senhas fracas. Uma vez que o sistema é comprometido, ele é adicionado a uma rede distribuída que pode ser acessada remotamente por uma rede de hackers.
A botnet GoBruteforcer pode invadir senhas pouco elaboradas
De acordo com o relatório da Check Point publicado na última quarta-feira, a botnet consegue ultrapassar proteções em serviços como FTP, MySQL, PostgreSQL e phpMyAdmin. Esses programas são usados por startups de blockchain e desenvolvedores de aplicativos descentralizados para gerenciar dados de usuários, lógica de aplicativos e dashboards internos.
Sistemas que o GoBrute invadiu podem receber comandos de um servidor de comando e controle, ditando qual serviço atacar enquanto fornece credenciais para tentativas de força bruta. Os detalhes de login revelados são reutilizados para acessar outros sistemas, roubar dados privados, criar contas ocultas e ampliar o alcance da botnet.
A Check Point também mencionou que hosts infectados podem ser reaproveitados para hospedar cargas maliciosas, distribuir malware para novas vítimas ou se tornarem servidores de controle de backup caso o sistema principal esteja fora do ar.
Muitas equipes de desenvolvimento atualmente, incluindo aquelas de grandes empresas de tecnologia como Microsoft e Amazon, usam trechos de código e guias de configuração gerados por grandes modelos de linguagem (LLMs) ou copiados de fóruns online.
A Check Point explicou que, como os modelos de IA não conseguem criar novas senhas e geralmente imitam o que aprenderam, eles tornam os nomes de usuário e senhas padrão muito previsíveis, não alterando-os rapidamente antes que os sistemas sejam expostos à internet.
O problema se torna ainda mais grave quando pilhas web legadas como XAMPP são usadas, o que pode expor serviços administrativos por padrão e fornecer um ponto de entrada fácil para hackers.
Campanhas do GoBruteforcer começaram em 2023, segundo pesquisa da Unit 42
O GoBruteforcer foi documentado pela primeira vez em março de 2023 pela Unit 42 da Palo Alto Networks, que detalhou sua capacidade de comprometer sistemas Unix-like x86, x64 e arquiteturas ARM. O malware implanta um bot de Internet Relay Chat e uma web shell, que os atacantes usam para manter o acesso remoto.
Em setembro de 2025, pesquisadores do Black Lotus Labs da Lumen Technologies descobriram que uma parte das máquinas infectadas vinculadas a outra família de malware, a SystemBC, também eram nós do GoBruteforcer. Analistas da Check Point compararam as listas de senhas usadas nos ataques com um banco de dados de cerca de 10 milhões de credenciais vazadas e encontraram uma sobreposição de aproximadamente 2,44%.
Com base nessa sobreposição, eles estimaram que dezenas de milhares de servidores de banco de dados poderiam aceitar uma das senhas usadas pela botnet. O relatório Cloud Threat Horizons 2024 do Google descobriu que credenciais fracas ou ausentes foram responsáveis por 47,2% dos vetores de acesso inicial em ambientes de nuvem violados.
Pesquisa aponta que reconhecimento em blockchain e IA expõe dados privados
Em casos onde o GoBrute foi rastreado em ambientes de criptomoedas, hackers da rede usaram nomes de usuário e variantes de senhas com temas de cripto que correspondiam a convenções de nomenclatura de projetos de blockchain. Outras campanhas miraram painéis phpMyAdmin ligados a sites WordPress, um serviço para sites e dashboards de projetos.
“Algumas tarefas são claramente focadas no setor. Por exemplo, observamos um ataque que usou nomes de usuário com temas de cripto, como cryptouser, appcrypto, crypto_app e crypto. Nessas execuções, as senhas utilizadas combinavam a lista padrão de senhas fracas com palpites específicos de cripto, como cryptouser1 ou crypto_user1234”, afirmou a Check Point, mencionando exemplos de senhas.
A Check Point identificou um servidor comprometido sendo usado para hospedar um módulo que escaneava endereços da blockchain TRON e consultava saldos por meio de uma API pública de blockchain para identificar carteiras com fundos.
“A combinação de infraestrutura exposta, credenciais fracas e ferramentas cada vez mais automatizadas. Embora a botnet em si seja tecnicamente simples, seus operadores se beneficiam do grande número de serviços mal configurados online”, escreveu a empresa de segurança.
Se você está lendo isso, já está à frente. Continue assim com a nossa newsletter.
