GoBruteforcer Botnet Targets Crypto Project Databases by Exploiting Weak Credentials

GoBruteforcer : La Botnet qui S’attaque aux Bases de Données Crypto

Une nouvelle campagne de GoBruteforcer cible les bases de données de projets de cryptomonnaies et de blockchain. L’objectif est d’exploiter des identifiants faibles pour intégrer ces systèmes dans une botnet capable de réaliser des attaques par force brute sur les mots de passe de services comme FTP, MySQL, PostgreSQL et phpMyAdmin sur des serveurs Linux.

Deux facteurs principaux alimentent cette vague d’attaques : la réutilisation massive d’exemples de déploiement de serveurs générés par IA, qui propagent des noms d’utilisateur communs et des configurations par défaut faibles, ainsi que la persistance de piles logicielles Web obsolètes telles que XAMPP, qui exposent des interfaces FTP et d’administration avec un durcissement minimal.

GoBruteforcer, découvert initialement en mars 2023, cible les plateformes Unix, y compris les architectures x86, x64 et ARM. Il déploie un bot IRC et un web shell pour l’accès à distance, ainsi qu’un module de force brute pour scanner les systèmes vulnérables et étendre son envergure. Une version plus sophistiquée du malware, apparue mi-2025, intègre un bot IRC obfusqué, des mécanismes de persistance améliorés, des techniques de masquage de processus et des listes d’identifiants dynamiques.

Ces listes incluent des combinaions de noms d’utilisateur et de mots de passe courants, souvent issus de tutoriels de bases de données ou de documentation de fournisseurs, qui sont également utilisés pour entraîner les modèles linguistiques larges (LLM). Certains noms d’utilisateur sont spécifiquement liés aux cryptomonnaies (comme cryptouser, appcrypto) ou visent les panels phpMyAdmin (root, wordpress). Les opérateurs réutilisent un ensemble restreint de mots de passe par campagne, mettant à jour les listes et faisant pivoter les noms d’utilisateur pour cibler différents systèmes.

Le vecteur d’accès initial observé consiste souvent en un service FTP exposé sur des serveurs XAMPP. Un web shell PHP est ensuite utilisé pour télécharger et exécuter une version du bot IRC. Une fois infecté, un système peut remplir trois fonctions : exécuter le module de force brute, héberger et servir des charges utiles à d’autres systèmes compromis, ou servir de point de contrôle IRC pour la botnet. Une analyse a également révélé qu’un système compromis était utilisé pour interroger les soldes des adresses blockchain TRON, démontrant une orientation claire vers les projets liés aux cryptomonnaies.

Points Clés :

• Cible : Bases de données de projets de cryptomonnaies et de blockchain.
• Méthode principale : Attaque par force brute sur les identifiants faibles (FTP, MySQL, PostgreSQL, phpMyAdmin).
• Vecteur d’infection initial : Exploitation d’identifiants faibles, souvent via des services FTP exposés, notamment sur des serveurs XAMPP.
• Composants du malware : Bot IRC obfusqué, web shell, module de force brute, mécanismes de persistance.
• Facteurs aggravants : Utilisation d’exemples de configuration par IA, piles logicielles obsolètes, réutilisation de mots de passe par défaut.
• Objectifs secondaires : Utiliser les systèmes compromis pour lancer d’autres attaques, servir des charges utiles, ou agir comme infrastructure de commande et contrôle (C2).
• Orientation spécifique : Scan des adresses de cryptomonnaies pour identifier les comptes avec des fonds.

Vulnérabilités Exploités :

• Identifiants faibles / par défaut : Le manque de renforcement des identifiants d’accès aux services (FTP, bases de données, interfaces d’administration).
• Configuration par défaut dangereuse : Notamment dans les environnements comme XAMPP, qui exposent des services avec des identifiants peu sécurisés.
• Vulnérabilités Server-Side Request Forgery (SSRF) : Mentionnées dans un contexte connexe de ciblage de LLM, mais illustrant la surface d’attaque potentielle. (Pas de CVE spécifique associé à ces attaques dans l’article).

Recommandations :

• Renforcer les identifiants : Utiliser des mots de passe forts et uniques pour tous les services et bases de données. Éviter les mots de passe par défaut et les combinaisons courantes.
• Durcir les configurations : Désactiver ou sécuriser les services inutiles. Mettre à jour et configurer correctement les piles logicielles Web, en particulier les interfaces d’administration.
• Surveiller l’infrastructure : Mettre en place une surveillance continue des accès et des activités suspectes sur les serveurs et les bases de données.
• Mettre à jour les logiciels : S’assurer que tous les logiciels, y compris les systèmes d’exploitation, les bases de données et les serveurs Web, sont à jour pour corriger les vulnérabilités connues.
• Limiter l’exposition : Réduire l’exposition des services critiques à Internet autant que possible. Utiliser des pare-feu et des VPN pour un accès sécurisé.

Source