Laut einer neuen Studie von Check Point werden Datenbanken von Kryptowährungs- und Blockchain-Projekten mit schwachendentund KI-generierten Daten durch von Botnetzen aufgegriffene Bereitstellungsmuster gehackt.
Ein Malware-Botnetz namens GoBruteforcer kann Linux-Server kompromittieren und sie in automatisierte Passwort-Cracking-Systeme verwandeln, so das Cybersicherheitsunternehmen. Das Hacking-Programm hat Infrastrukturen von Kryptoprojekten beeinträchtigt, darunter Datenbankserver, Dateitransferdienste und Web-Administrationspanels.
GoBrut kann das Internet nach schlecht gesicherten Diensten durchsuchen und versuchen, sich mit gängigen Benutzernamen und schwachen Passwörtern anzumelden. Sobald ein System kompromittiert ist, wird es einem verteilten Netzwerk hinzugefügt, auf das Hacker aus der Ferne zugreifen können.
Das GoBruteforcer-Botnetz kann auch nur vage formulierte Passwörter knacken
Laut einem veröffentlichten kann das Botnetz Schutzmechanismen von Diensten wie FTP, MySQL, PostgreSQL und phpMyAdmin umgehen. Diese Programme werden von Blockchain-Startups und Entwicklern dezentraler Anwendungen zur Verwaltung von Benutzerdaten, Anwendungslogik und internen Dashboards eingesetzt.
Die von GoBrute gehackten Systeme können Befehle von einem Command-and-Control-Server empfangen, der vorgibt, welcher Dienst angegriffen werden soll, und gleichzeitigdentfür Brute-Force-Angriffe liefert. Die erbeuteten Zugangsdaten werden wiederverwendet, um auf andere Systeme zuzugreifen, private Daten zu stehlen, versteckte Konten zu erstellen und die Reichweite des Botnetzes zu vergrößern.
Check Point wies außerdem darauf hin, dass infizierte Hosts auch dazu umfunktioniert werden können, bösartige Nutzlasten zu hosten, Malware an neue Opfer zu verteilen oder als Backup-Kontrollserver zu fungieren, wenn das Kernsystem Ausfallzeiten aufweist.
Viele Entwicklungsteams, darunter auch solche von großen Technologieunternehmen wie Microsoft und Amazon, verwenden heute Code-Snippets und Einrichtungsanleitungen, die von großen Sprachmodellen (LLMs) generiert oder aus Online-Foren kopiert wurden.
Check Point erklärte, dass KI-Modelle keine neuen Passwörter erstellen können und in der Regel das nachahmen, was ihnen beigebracht wurde. Daher seien Benutzernamen und Standardpasswörter sehr vorhersehbar und würden nicht schnell genug geändert, bevor Systeme mit dem Internet in Kontakt kommen.
Das Problem verschärft sich noch, wenn ältere Web-Stacks wie XAMPP verwendet werden, die standardmäßig administrative Dienste offenlegen und Hackern einen einfachen Einstiegspunkt bieten.
Die GoBruteforcer-Kampagnen begannen im Jahr 2023, wie Recherchen von Unit 42 ergaben
GoBruteforcer wurde erstmals im März 2023 von der Unit 42 von Palo Alto Networks dokumentiert. Die Dokumentation beschrieb die Fähigkeit der Malware, Unix-ähnliche Systeme mit x86-, x64- und ARM-Architekturen zu kompromittieren. Die Schadsoftware setzt einen IRC-Bot (Internet Relay Chat) und eine Web-Shell ein, über die Angreifer ihren Fernzugriff aufrechterhalten.
Im September 2025 stellten Forscher der Black Lotus Labs von Lumen Technologies fest, dass ein Teil der infizierten Rechner, die mit der Malware-Familie SystemBC in Verbindung standen, auch GoBruteforcer-Knoten waren. Analysten von Check Point verglichen die bei den Angriffen verwendeten Passwortlisten mit einer Datenbank von rund 10 Millionen geleaktendentund fanden eine Übereinstimmung von etwa 2,44 %.
Aufgrund dieser Überschneidung schätzten sie, dass Zehntausende von Datenbankservern eines der vom Botnetz verwendeten Passwörter akzeptieren könnten. Laut Googles Bericht „Cloud Threat Horizons 2024“ waren schwache oder fehlendedentfür 47,2 % der ersten Zugriffsvektoren in kompromittierten Cloud-Umgebungen verantwortlich.
Blockchain- und KI-gestützte Aufklärung legen private Daten offen, wie eine Studie zeigt
In Fällen, in denen GoBrute in Kryptowährungsumgebungen tracwurde, verwendeten Netzwerkhacker kryptobezogene Benutzernamen und Passwortvarianten, die den Namenskonventionen von Blockchain-Projekten entsprachen. Andere Kampagnen zielten auf phpMyAdmin-Panels ab, die mit WordPress-Websites verknüpft waren, einem Dienst für Projektwebsites und Dashboards.
„Einige Aufgaben sind eindeutig branchenspezifisch. Wir haben beispielsweise einen Angriff beobachtet, bei dem Benutzernamen mit Kryptobezug wie cryptouser, appcrypto, crypto_app und crypto verwendet wurden. Die verwendeten Passwörter kombinierten dabei die Standardliste schwacher Passwörter mit kryptospezifischen Vermutungen wie cryptouser1 oder crypto_user1234“, so Check Point unter Nennung von Passwortbeispielen.
Check Pointdenteinen kompromittierten Server, der zum Hosten eines Moduls verwendet wurde, das TRON -Blockchain-Adressen scannte und Guthaben über eine öffentliche Blockchain-API abfragte, um Walletsdent, die Gelder enthielten.
„Die Kombination aus ungeschützter Infrastruktur, schwachendentund zunehmend automatisierten Tools. Während das Botnetz selbst technisch einfach aufgebaut ist, profitieren seine Betreiber von der Vielzahl falsch konfigurierter Online-Dienste“, schrieb das Sicherheitsunternehmen.
