Новый ботнет на языке Go был замечен за сканированием и брутфорсом веб-сайтов, использующих систему управления контентом WordPress (CMS), для захвата контроля над целевыми системами.
«Этот брутфорсер является частью новой кампании, которую мы назвали GoTrim, поскольку она написана на языке Go и использует ':::trim:::' для разделения данных, передаваемых на командно-контрольный (CnC) сервер и с него» - сообщили исследователи Fortinet FortiGuard Labs Эдуардо Альтарес, Джои Сальвио и Рой Тэй.
Активная кампания, наблюдаемая с сентября 2022 года, использует сеть ботов для проведения распределенных атак методом перебора паролей в попытке войти на целевой веб-сервер.
После успешного взлома оператор устанавливает на новом взломанном узле PHP-скрипт, который, в свою очередь, предназначен для развертывания «бот-клиента» по жестко заданному URL-адресу, добавляя машину в растущую сеть.
В своем нынешнем виде GoTrim не обладает способностью к самораспространению, не может распространять другие вредоносные программы и сохранять устойчивость в зараженной системе.
Основная цель вредоноса - получение дальнейших команд от сервера, контролируемого злоумышленником, которые включают проведение атак методом перебора на WordPress и OpenCart с использованием набора учетных данных.
В качестве альтернативы GoTrim может функционировать в режиме сервера, когда он запускает сервер для прослушивания входящих запросов, отправленных атакующим через командно-контрольный сервер. Однако это происходит только в том случае, если взломанная система напрямую подключена к Интернету.
Еще одной ключевой особенностью ботнета является способность имитировать легитимные запросы от браузера Mozilla Firefox на 64-битных Windows для обхода защиты от ботов, в дополнение к решению барьеров CAPTCHA, присутствующих на сайтах WordPress.
«Хотя эта вредоносная программа все еще находится в стадии разработки, тот факт, что она имеет полнофункциональный брутфорсер WordPress в сочетании с ее методами обхода анти-ботов, делает ее угрозой, за которой стоит следить» - заявляют исследователи.
«Кампании брутфорсинга опасны, поскольку они могут привести к компрометации сервера и распространению вредоносного ПО. Чтобы снизить этот риск, администраторы сайтов должны убедиться, что учетные записи пользователей (особенно администраторов) используют надежные пароли».
Источник: https://thehackernews.com
