Un nouveau logiciel malveillant de type botnet basé sur Golang recherche et affecte les serveurs web utilisant les services phpMyAdmin, MySQL, FTP et Postgres.

Selon les chercheurs de l'unité 42 de Palo Alto Networks, qui ont découvert le virus dans la nature et lui ont donné le nom de GoBruteforcer, le logiciel malveillant est compatible avec les architectures x86, x64 et ARM.

GoBruteforcer utilise le force brute pour pirater des comptes dont les mots de passe sont faibles ou par défaut, afin de s'introduire dans des appareils *nix vulnérables.

Selon les chercheurs, "les modèles nécessitent des conditions uniques sur le système de la victime, comme l'utilisation d'arguments spécifiques et l'installation de services ciblés (avec des mots de passe faibles), pour une exécution efficace."

Le logiciel malveillant commence par rechercher les services phpMyAdmin, MySQL, FTP et Postgres pour chaque adresse IP ciblée. Il tente de se connecter à l'aide d'informations d'identification codées en dur dès qu'il découvre un port ouvert autorisant les connexions.

Une fois entré, il lance un shell web PHP sur les serveurs hébergeant d'autres services ciblés ou un bot IRC sur les systèmes phpMyAdmin compromis.

Dans la phase suivante de l'attaque, GoBruteforcer se connecte à son serveur de commande et de contrôle et attend des instructions qui lui sont transmises par le bot IRC ou le shell web précédemment installé.

Le botnet utilise un module multiscan pour trouver des victimes potentielles au sein d'un CIDR (Classless Inter-Domain Routing), ce qui lui donne un large choix de cibles pour infiltrer les réseaux.

Avant de rechercher les adresses IP à attaquer, GoBruteforcer choisit un bloc CIDR et cible toutes les adresses IP de cette plage.

Plutôt que de cibler une seule adresse IP, le logiciel malveillant utilise le balayage de blocs CIDR pour accéder à une gamme variée d'hôtes sur diverses adresses IP, ce qui augmente la portée de l'attaque.

GoBruteforcer est probablement en cours de développement, ses opérateurs devant adapter leurs tactiques et les capacités du logiciel malveillant à cibler les serveurs web et à rester en avance sur les défenses de sécurité.