Uma nova botnet baseada em Golang chamada GoBruteforcer foi flagrada escaneando e infectando servidores populares da web, incluindo FTP e MySQL.

A botnet, hospedada em um site legítimo, implanta um bot Internet Relay Chat (IRC) em servidores comprometidos e o utiliza para se comunicar com o servidor C2 do invasor para obter mais instruções.

Os pesquisadores da Palo Alto Networks revelaram que o GoBruteforcer é compatível com várias arquiteturas de processador, incluindo x86, x64 e ARM.

O malware requer certas condições especiais, como o uso de argumentos específicos no momento da execução e a instalação de serviços direcionados já com senhas fracas. Ele é executado somente quando essas condições são atendidas.

Os desenvolvedores adicionaram um módulo multiscan ao seu código-fonte para escanear e encontrar um conjunto mais amplo de máquinas-alvo em potencial.

Após uma invasão bem-sucedida, o GoBruteforcer implanta um bot IRC com a URL do invasor. Em seguida, ele começa a se comunicar com o servidor C2 e aguarda novos comandos dos invasores.

O módulo multiscan no GoBruteforcer permite que seus operadores atinjam uma ampla gama de dispositivos nas redes. A melhor maneira de evitar ameaças provenientes de força bruta é alterar as senhas padrão e implementar uma política de senha forte, incluindo 2FA.