Peneliti dari Palo Alto Networks telah menemukan sebuah botnet baru yang diberi nama GoBruteforcer, dibuat menggunakan bahasa pemrograman Go. Botnet ini menargetkan layanan web populer seperti FTP dan MySQL, dan di-hosting pada situs web yang sah. Malware ini mengimplementasikan bot Internet Relay Chat (IRC) pada server yang telah disusupi dan berkomunikasi dengan server Command and Control (C2) milik penyerang untuk menerima instruksi selanjutnya. Malware ini melakukan pemindaian jaringan menggunakan blok Classless Inter-Domain Routing (CIDR), yang memungkinkannya untuk menyerang rentang target yang lebih luas. Selanjutnya, malware ini mencoba memperoleh akses dengan melakukan brute force terhadap password yang lemah, dan jika berhasil masuk, maka akan memasang bot IRC yang memungkinkannya untuk berkomunikasi dengan server penyerang untuk instruksi lebih lanjut. Kode sumber botnet ini termasuk modul multiscan yang menargetkan berbagai perangkat di seluruh jaringan, membuatnya sangat berbahaya. Untuk menghindari ancaman yang berasal dari brute forcers, disarankan untuk mengubah password default dan menerapkan kebijakan password yang kuat, termasuk autentikasi dua faktor. Malware ini membutuhkan beberapa kondisi tertentu untuk dijalankan, seperti penggunaan argumen tertentu dan password yang lemah pada layanan yang ditargetkan. Malware ini melakukan pemindaian pada server web yang berjalan menggunakan layanan MySQL, Postgres, FTP, atau phpMyAdmin, dan mencoba melakukan brute force pada password tersebut. Jika berhasil masuk, maka malware ini akan memasang bot IRC dan menunggu instruksi lebih lanjut dari server C2 penyerang. Selain itu, malware ini mendaftarkan dirinya sendiri dalam cron untuk bertahan. Kode sumber botnet ini termasuk beberapa arsitektur prosesor dan kompatibel dengan x86, x64, dan ARM.
Sumber : https://cyware.com/news/golang-based-gobruteforcer-malware-targets-popular-web-services-243870e0
Sumber : https://cyware.com/news/golang-based-gobruteforcer-malware-targets-popular-web-services-243870e0