GoldBrute é o nome de uma nova botnet que atualmente é a digitalização da internet e tentar localizar máquinas Windows mal protegidas com RDP (Protocolo área de trabalho remota) conexão habilitado.
O botnet foi descoberto pelo pesquisador de segurança Renato Marinho de Morphus Labs que diz que ele tem estado a atacar 1,596,571 endpoints RDP. Este número deve aumentar nos próximos dias.
Ataques de botnet GoldBrute explicados
atualmente, o botnet GoldBrute está forçando uma lista de cerca de 1.5 milhões de servidores RDP expostos à Internet, o pesquisador diz. É importante mencionar que o Shdoan lista sobre 2.4 milhão de servidores expostos, e GoldBrute está implantando sua própria lista. O botnet está ativamente estendendo a lista enquanto continua a varredura.
A primeira etapa de um ataque GoldBrute é a força bruta dos sistemas Windows e obter acesso por meio do RDP. Em seguida, o botnet baixa um arquivo .zip que contém o código GoldBrute malicioso, e começa a escanear a Internet em busca de novos endpoints RDP que ainda não estão incluídos em sua própria lista.
Assim que descobrir 80 novos endpoints RDP, o botnet está enviando a lista de endereços IP para seu servidor de comando e controle remoto. Os sistemas infectados recebem uma lista de endereços IP prontos para força bruta. Cada endereço IP obtém apenas uma combinação de nome de usuário e senha para o bot tentar a autenticação. Existe uma combinação diferente para cada bot.
Assim que todas as condições acima forem atendidas, o bot executa o ataque de força bruta e relata os resultados ao seu servidor de comando e controle.
A análise de Renato Marinho do código de GoldBrute tornou possível para ele manipular o código para salvá-lo + nome de usuário + combinações de senha ”na máquina do laboratório:
Depois de 6 horas, nós recebemos 2.1 milhões de endereços IP do servidor C2 a partir do qual 1,596,571 São únicos. Claro, não executamos a fase de força bruta, o pesquisador disse em seu relatório.
O pesquisador também foi capaz de localizar geograficamente e plotar todos os endereços em um mapa-múndi global usando uma pilha ELK.
Em conclusão, mesmo que GoldBrute não seja tão impressionante em seu mecanismo de ataque, é único na forma como realiza a operação de força bruta, pois ajuda a permanecer indetectável.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: