Logiciel malveillant GoBruteforcer

Un nouveau malware appelé GoBruteforcer a été découvert par des chercheurs en cybersécurité. Ce malware est écrit dans le langage de programmation Go et est spécifiquement conçu pour cibler les serveurs Web exécutant phpMyAdmin, MySQL, FTP et Postgres. Le but de la menace est de prendre le contrôle de ces appareils et de les ajouter à un botnet, qui peut ensuite être utilisé pour diverses activités malveillantes. Des détails sur les capacités malveillantes de la menace ont été publiés dans un rapport des chercheurs de la sécurité informatique de l'unité 42 de Palo Alto Networks.

L'une des caractéristiques notables de GoBruteforcer est son utilisation de l'analyse de blocs CIDR (Classless Inter-Domain Routing). Cette technique permet au logiciel malveillant d'analyser le réseau et de cibler toutes les adresses IP d'une plage CIDR spécifique au lieu d'utiliser une seule adresse IP comme cible. Ce faisant, le logiciel malveillant peut accéder à un plus large éventail d'hôtes sur différentes adresses IP au sein d'un réseau. Cela rend plus difficile pour les administrateurs réseau de détecter et de bloquer l'attaque.

Les appareils infectés par le logiciel malveillant GoBruteforcer sont ajoutés à un botnet

GoBruteforcer est un type de logiciel malveillant spécialement conçu pour cibler les plates-formes de type Unix exécutant des architectures x86, x64 et ARM. Le logiciel malveillant tente d'accéder à ces appareils via une attaque par force brute en utilisant une liste d'informations d'identification codées en dur dans le binaire. En cas de succès, le logiciel malveillant déploie un bot IRC (Internet Relay Chat) sur le serveur des victimes pour établir une communication avec un serveur contrôlé par un acteur.

En plus d'utiliser une attaque par force brute, GoBruteforcer exploite également un shell Web PHP qui est déjà installé sur le serveur victime. Cela permet au logiciel malveillant de recueillir plus d'informations sur le réseau ciblé.

Malgré son efficacité, on ne sait pas comment GoBruteforcer et le shell PHP sont initialement livrés aux appareils ciblés. Cependant, les chercheurs en cybersécurité ont noté que les tactiques et techniques du malware évoluent activement, ce qui indique que les développeurs qui le sous-tendent s'efforcent continuellement d'échapper à la détection et d'améliorer l'efficacité de leurs attaques.

Des mesures de cybersécurité robustes devraient être une priorité absolue pour les utilisateurs et les organisations

Les serveurs Web sont depuis longtemps une cible très recherchée par les cyber-attaquants. Des mots de passe faibles peuvent entraîner des menaces importantes, car les serveurs Web sont un composant essentiel de l'infrastructure numérique d'une organisation. Les logiciels malveillants tels que GoBruteforcer exploitent ces vulnérabilités en tirant parti des mots de passe faibles ou par défaut pour obtenir un accès non autorisé à ces serveurs.

L'une des caractéristiques les plus importantes du bot GoBruteforcer est sa capacité d'analyse multiple, qui lui permet de cibler un large éventail de victimes potentielles. Ceci, associé au développement actif du logiciel malveillant, signifie que les attaquants peuvent modifier leurs tactiques et techniques pour cibler plus efficacement les serveurs Web à l'avenir. Par conséquent, il est essentiel de s'assurer que les serveurs Web sont sécurisés avec des mots de passe forts et uniques pour minimiser le risque d'attaques par des logiciels malveillants comme GoBruteforcer.