Força Bruta

Uma nova onda de ataques cibernéticos, conhecida como GoBruteforcer, está focando em bases de dados de criptomoedas e projetos de blockchain. Esses ataques utilizam botnets para realizar preenchimento de credenciais em massa, invadindo contas por meio de força bruta. Os serviços mais afetados incluem FTP, MySQL, PostgreSQL e phpMyAdmin em servidores Linux. Pesquisadores da Check Point Research identificaram que a campanha é impulsionada pelo uso de servidores gerados por inteligência artificial (IA) que propagam nomes de usuário e senhas padrão, além da presença de stacks web legados, como o XAMPP, que expõem interfaces com segurança mínima. A GoBruteforcer foi inicialmente descoberta pela Palo Alto Networks em março de 2023 e, em 2025, a equipe Black Lotus da Lumen Technologies confirmou a integração de bots da família SystemBC na botnet. Os hackers exploram servidores vulneráveis para subir web shells em PHP, permitindo o download de bots que executam scripts maliciosos. Isso possibilita ataques de força bruta, hospedagem de payloads maliciosos e controle remoto dos servidores. É crucial que as organizações verifiquem se suas implementações não utilizam credenciais padrão ou são baseadas em IA generativa para evitar invasões e a integração em botnets como a GoBruteforcer.

Uma nova onda de ataques conhecidos como GoBruteforcer está direcionando suas ações contra bancos de dados de projetos de criptomoedas e blockchain, com o objetivo de cooptá-los em uma botnet capaz de realizar ataques de força bruta em senhas de serviços como FTP, MySQL e phpMyAdmin em servidores Linux. Segundo a Check Point Research, essa campanha é impulsionada pela reutilização em massa de exemplos de implantação de servidores gerados por inteligência artificial, que propagam nomes de usuários comuns e configurações padrão fracas. O GoBruteforcer, documentado pela primeira vez em março de 2023, tem se mostrado eficaz em plataformas Unix-like, utilizando um bot IRC e um shell web para acesso remoto. A análise mais recente revelou uma versão mais sofisticada do malware, que inclui um bot IRC ofuscado e listas dinâmicas de credenciais. Os atacantes utilizam uma combinação de nomes de usuários e senhas comuns, muitos dos quais são encontrados em tutoriais e documentação de fornecedores, o que facilita a exploração. Além disso, a campanha também visa endereços de blockchain, indicando um esforço coordenado para atacar projetos nesse setor. A Check Point destaca que a combinação de infraestrutura exposta, credenciais fracas e ferramentas automatizadas representa um problema persistente na segurança cibernética.

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.