Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La Unidad 42 de Palo Alto descubre un nuevo malware GoBruteforcer
22 de marzo de 2023 - Equipo de RRPP de TuxCare
Los investigadores de Unit42 de Palo Alto Networks han descubierto un nuevo malware GoBruteforcer dirigido a phpMyAdmin, MySQL, FTP y Postgres. El recién descubierto malware botnet basado en Golang busca e infecta servidores web que ejecutan servicios phpMyAdmin, MySQL, FTP y Postgres.
Según los investigadores: "Para una ejecución con éxito, las muestras requieren condiciones especiales en el sistema de la víctima, como que se estén utilizando argumentos específicos y que los servicios objetivo ya estén instalados (con contraseñas débiles)."
El malware comienza a buscar los servicios phpMyAdmin, MySQL, FTP y Postgres para cada dirección IP objetivo. Intentará iniciar sesión utilizando credenciales codificadas tras detectar un puerto abierto que acepte conexiones.
Cuando obtiene acceso, instala un bot de IRC en los sistemas phpMyAdmin comprometidos o una shell web PHP en los servidores que alojan otros servicios objetivo. GoBruteforcer se conectará entonces a su servidor de comando y control y esperará a recibir instrucciones a través del bot de IRC o la shell web previamente instalados.
GoBruteforcer, que parece estar todavía en desarrollo, incluye UPX Packer y un módulo de escaneo múltiple para identificar los puertos abiertos de los servicios objetivo. Una vez que se identifica un puerto, fuerza el servidor utilizando credenciales codificadas. Busca cualquier puerto 80 abierto para los servicios phpMyAdmin antes de intentar desplegar el bot IRC para la comunicación.
Para los servicios MySQL y Postgres, el malware comprueba si hay puertos abiertos 3306 y 5432, y luego hace un ping a la base de datos del host utilizando credenciales específicas. Para los servicios FTP, busca el puerto 21 abierto e intenta autenticarse utilizando la biblioteca Goftp. Las muestras de malware GoBruteforcer se empaquetan con UPX Packer. Al descomprimir una muestra (SHA256
ebe11121aafdac5d8f2eecba710ba85efa31617a5eb825ba2e89e23379b26b84). Aparte de esto, el GoBruteforcer tiene un módulo multiscan que utiliza para escanear los hosts dentro de un CIDR para su ataque.
"Hemos visto que este malware despliega remotamente una variedad de diferentes tipos de malware como cargas útiles, incluyendo coinminers. Creemos que GoBruteforcer está en desarrollo activo, por lo que aspectos como los vectores de infección iniciales o las cargas útiles podrían cambiar en un futuro próximo", afirman los investigadores.
Los hashes del malware GoBruteforcer iban dirigidos principalmente a plataformas tipo Unix (*nix), con versiones para arquitecturas x86, x64 y ARM. Parece probable que este sea su sistema operativo preferido porque los sistemas operativos *nix son una opción popular para alojar servidores. Se cree que GoBruteforcer está en desarrollo activo, por lo que aspectos como los vectores de infección iniciales o las cargas útiles podrían cambiar en un futuro próximo.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
