Uma botnet baseada em Go conhecida como GoBruteforcer está escaneando e comprometendo servidores Linux globalmente por meio de força bruta em senhas fracas em serviços expostos como FTP, MySQL e PostgreSQL. A Check Point Research identificou uma variante de 2025 que infectou dezenas de milhares de máquinas, colocando mais de 50.000 servidores voltados para a internet em risco. Os ataques exploram padrões comuns de configurações geradas por IA e setups legados.
A botnet GoBruteforcer, documentada pela primeira vez em 2023, evoluiu significativamente em sua versão de 2025, conforme detalhado pela Check Point Research. Esse malware usa uma estrutura modular envolvendo web shells, downloaders, bots IRC e módulos de força bruta para infiltrar sistemas. Ele foca em serviços como FTP, MySQL, PostgreSQL e phpMyAdmin, mirando credenciais fracas ou padrão em servidores Linux expostos à internet. Os pesquisadores estimam que mais de 50.000 servidores permaneçam vulneráveis, com milhões de instâncias expostas: cerca de 5,7 milhões de servidores FTP, 2,23 milhões de servidores MySQL e 560.000 servidores PostgreSQL operando em portas padrão. O sucesso da botnet decorre do uso generalizado de nomes de usuário sugeridos por IA como “appuser” e “myuser”, ao lado de um banco de dados de 375 a 600 senhas fracas comuns. Essas listas de credenciais se sobrepõem a 2,44% de uma coleção de 10 milhões de senhas vazadas, tornando os ataques viáveis apesar da taxa de sobreposição modesta. Um relatório do Google Cloud Threat Horizons de 2024 observou que credenciais fracas facilitaram 47,2% das violações iniciais em nuvem, sublinhando a eficácia do método. O bot IRC atualizado, agora escrito em Go e ofuscado com Garbler, substitui uma versão anterior baseada em C. Ele emprega técnicas de mascaramento de processos, renomeando-se para “init” e ocultando argumentos para evadir detecção. Servidores de comando e controle distribuem lotes de 200 credenciais, rotacionando perfis várias vezes por semana. Máquinas infectadas escaneiam até 20 endereços IP por segundo com baixa largura de banda — cerca de 64 kb/s de saída durante operações FTP — e executam 95 threads simultâneos em sistemas de 64 bits. Algumas campanhas mostram motivos financeiros, implantando ferramentas para escanear carteiras TRON e varrer tokens da Binance Smart Chain. Em um servidor comprometido, analistas recuperaram um arquivo com cerca de 23.000 endereços TRON, com dados on-chain confirmando roubos bem-sucedidos. A botnet evita redes privadas, provedores de nuvem e faixas do Departamento de Defesa dos EUA para minimizar riscos de detecção. Ela também adapta ataques para setores, usando nomes de usuário temáticos de cripto ou mirando pilhas XAMPP com setups FTP padrão. Para resiliência, inclui endereços C2 de fallback hardcodados e promove hosts infectados como relays. Componentes são atualizados duas vezes ao dia via scripts verificados por MD5. Para combater essas ameaças, especialistas recomendam senhas fortes, desabilitar serviços não usados, autenticação multifator e monitoramento vigilante de logins.
