Un malware botnet basé sur Golang récemment découvert recherche et infecte les serveurs Web exécutant les services phpMyAdmin, MySQL, FTP et Postgres.
Selon les chercheurs de l’unité 42 de Palo Alto Networks, qui l’ont d’abord repéré dans la nature et l’ont surnommé GoBruteforcer, le malware est compatible avec les architectures x86, x64 et ARM.
GoBruteforcer forcera brutalement les comptes avec des mots de passe faibles ou par défaut pour pirater les appareils *nix vulnérables.
« Pour une exécution réussie, les échantillons nécessitent des conditions spéciales sur le système victime, comme des arguments spécifiques utilisés et des services ciblés déjà installés (avec des mots de passe faibles) », ont déclaré les chercheurs.
Pour chaque adresse IP ciblée, le logiciel malveillant commence à rechercher les services phpMyAdmin, MySQL, FTP et Postgres. Après avoir détecté un port ouvert acceptant les connexions, il tentera de se connecter à l’aide d’informations d’identification codées en dur.
Une fois dedans, il déploie un bot IRC sur des systèmes phpMyAdmin compromis ou un shell Web PHP sur des serveurs exécutant d’autres services ciblés.
Dans la prochaine phase de l’attaque, GoBruteforcer contactera son serveur de commande et de contrôle et attendra les instructions qui seront fournies via le bot IRC ou le shell Web précédemment installé.
Le botnet utilise un module multiscan pour trouver des victimes potentielles au sein d’un routage inter-domaine sans classe (CIDR), lui accordant une large sélection de cibles pour infiltrer les réseaux.
Avant de rechercher les adresses IP à attaquer, GoBruteforcer choisit un bloc CIDR et ciblera toutes les adresses IP de cette plage.
Plutôt que de cibler une seule adresse IP, le logiciel malveillant utilise l’analyse de bloc CIDR pour accéder à une gamme variée d’hôtes sur différentes adresses IP, augmentant ainsi la portée de l’attaque.
GoBruteforcer est probablement en cours de développement actif, ses opérateurs devant adapter leurs tactiques et les capacités du logiciel malveillant pour cibler les serveurs Web et garder une longueur d’avance sur les défenses de sécurité.
« Nous avons vu ce logiciel malveillant déployer à distance une variété de différents types de logiciels malveillants en tant que charges utiles, y compris des mineurs de pièces », a ajouté Unit42.
« Nous pensons que GoBruteforcer est en développement actif et, à ce titre, des éléments tels que les vecteurs d’infection initiaux ou les charges utiles pourraient changer dans un proche avenir. »