Un botnet malveillant nommé GoBruteforcer est capable de compromettre des serveurs Linux et de les transformer en nœuds automatisés de craquage de mots de passe, a déclaré l'entreprise de cybersécurité. Ce programme de piratage a affecté l'infrastructure utilisée par des projets crypto, y compris des serveurs de bases de données, des services de transfert de fichiers et des panneaux d'administration web.
GoBrut peut scanner Internet à la recherche de services mal sécurisés et tenter de se connecter à ces derniers en utilisant des noms d'utilisateur populaires et des mots de passe faibles. Une fois qu'un système est compromis, il est alors ajouté à un réseau distribué pouvant être accédé à distance par un réseau de hackers.
Le botnet GoBruteforcer peut pirater des mots de passe mal conçus
Selon le rapport de Check Point publié mercredi dernier, le botnet peut contourner les protections dans des services tels que FTP, MySQL, PostgreSQL et phpMyAdmin. Ces programmes sont utilisés par des start-ups blockchain et des développeurs d'applications décentralisées pour gérer les données des utilisateurs, la logique applicative et les tableaux de bord internes.
Les systèmes piratés par GoBrute peuvent accepter des commandes provenant d'un serveur de commande et de contrôle, déterminant quel service attaquer tout en fournissant des identifiants pour des tentatives de force brute. Les identifiants révélés sont réutilisés pour accéder à d'autres systèmes, voler des données privées, créer des comptes cachés, et étendre la portée du botnet.
Check Point a également mentionné que les hôtes infectés peuvent aussi être réaffectés pour héberger des charges malveillantes, distribuer des malwares à de nouvelles victimes, ou devenir des serveurs de contrôle de secours si le système principal rencontre des interruptions.
De nombreuses équipes de développement, y compris celles de grandes entreprises technologiques telles que Microsoft et Amazon, utilisent désormais des extraits de code et des guides d'installation générés par de grands modèles de langage (LLM) ou copiés depuis des forums en ligne.
Check Point a expliqué que, puisque les modèles d'IA ne peuvent pas créer de nouveaux mots de passe et imitent généralement ce qu'ils ont appris, ils rendent les noms d'utilisateur et mots de passe par défaut très prévisibles, sans les changer assez rapidement avant que les systèmes ne soient exposés à Internet.
Le problème devient encore plus grave lorsque des piles web anciennes comme XAMPP sont utilisées, ce qui peut exposer par défaut des services administratifs et offrir un point d'entrée facile pour les hackers.
Les campagnes GoBruteforcer ont commencé en 2023, selon les recherches de Unit 42
GoBruteforcer a été documenté pour la première fois en mars 2023 par Unit 42 de Palo Alto Networks, qui a détaillé sa capacité à compromettre les systèmes de type Unix x86, x64 et ARM. Le malware déploie un bot Internet Relay Chat et un web shell, que les attaquants utilisent pour maintenir leur accès à distance.
En septembre 2025, des chercheurs de Black Lotus Labs de Lumen Technologies ont découvert qu'une partie des machines infectées, liées à une autre famille de malwares, SystemBC, étaient également des nœuds GoBruteforcer. Les analystes de Check Point ont comparé les listes de mots de passe utilisées lors des attaques à une base de données d'environ 10 millions d'identifiants divulgués et ont trouvé un chevauchement d'environ 2,44 %.
Sur la base de ce chevauchement, ils ont estimé que des dizaines de milliers de serveurs de bases de données pourraient accepter l'un des mots de passe utilisés par le botnet. Le rapport Cloud Threat Horizons 2024 de Google a révélé que des identifiants faibles ou absents étaient responsables de 47,2 % des vecteurs d'accès initiaux dans les environnements cloud compromis.
La reconnaissance blockchain et IA expose des données privées, selon la recherche
Dans les cas où GoBrute a été retrouvé dans des environnements de cryptomonnaies, des hackers réseau ont utilisé des noms d'utilisateur et variantes de mots de passe à thème crypto qui correspondaient aux conventions de nommage de projets blockchain. D'autres campagnes ciblaient des panneaux phpMyAdmin liés à des sites WordPress, un service pour les sites projets et les tableaux de bord.
« Certaines tâches sont clairement axées sur un secteur. Par exemple, nous avons observé une attaque utilisant des noms d'utilisateur à thème crypto tels que cryptouser, appcrypto, crypto_app et crypto. Dans ces tentatives, les mots de passe utilisés combinaient la liste faible standard avec des suppositions spécifiques au domaine crypto telles que cryptouser1 ou crypto_user1234 », a indiqué Check Point, mentionnant des exemples de mots de passe.
Check Point a identifié un serveur compromis utilisé pour héberger un module qui scannait des adresses blockchain TRON et interrogeait les soldes via une API publique blockchain afin d'identifier les portefeuilles détenant des fonds.
« La combinaison d'infrastructures exposées, d'identifiants faibles, et d'outils de plus en plus automatisés. Bien que le botnet lui-même soit techniquement simple, ses opérateurs profitent du nombre de services mal configurés en ligne », a écrit l'entreprise de sécurité.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez informé avec notre newsletter.
