Secondo una nuova ricerca di Check Point, i database di progetti blockchain e di criptovalute condentdeboli e generati dall'intelligenza artificiale vengono hackerati tramite modelli di distribuzione rilevati da botnet.
Una botnet malware denominata GoBruteforcer è in grado di compromettere i server Linux e trasformarli in nodi automatizzati per la decifrazione delle password, ha affermato l'azienda di sicurezza informatica. Il programma di hacking ha colpito le infrastrutture utilizzate dai progetti crittografici, inclusi server di database, servizi di trasferimento file e pannelli di amministrazione web.
GoBrut può scansionare Internet alla ricerca di servizi poco sicuri e tentare di accedervi utilizzando nomi utente comuni e password deboli. Una volta compromesso, un sistema viene aggiunto a una rete distribuita a cui una rete di hacker può accedere da remoto.
La botnet GoBruteforcer può hackerare password vagamente concepite
Secondo il rapporto di Check Point pubblicato mercoledì scorso, la botnet è in grado di eludere le protezioni di servizi come FTP, MySQL, PostgreSQL e phpMyAdmin. Questi programmi sono utilizzati da startup blockchain e sviluppatori di app decentralizzate per gestire i dati degli utenti, la logica delle applicazioni e le dashboard interne.
I sistemi hackerati da GoBrute possono accettare comandi da un server di comando e controllo, indicando quale servizio attaccare e fornendodentper tentativi di attacco brute-force. I dati di accesso rivelati vengono riutilizzati per accedere ad altri sistemi, rubare dati privati, creare account nascosti e aumentare la portata della botnet.
Check Point ha anche affermato che gli host infetti possono essere riutilizzati per ospitare payload dannosi, distribuire malware a nuove vittime o diventare server di controllo di backup se il sistema centrale subisce tempi di inattività.
Molti team di sviluppo, compresi quelli di grandi aziende tecnologiche come Microsoft e Amazon, utilizzano frammenti di codice e guide di configurazione generati da modelli linguistici di grandi dimensioni (LLM) o copiati da forum online.
Check Point ha spiegato che, poiché i modelli di intelligenza artificiale non sono in grado di creare nuove password e solitamente imitano ciò che è stato loro insegnato, rendono i nomi utente e le password predefinite molto prevedibili , non modificandoli abbastanza rapidamente prima che i sistemi vengano esposti a Internet.
Il problema diventa ancora più grave quando si utilizzano stack web legacy come XAMPP, che possono esporre i servizi amministrativi per impostazione predefinita e fornire un facile punto di ingresso per gli hacker.
Le campagne GoBruteforcer sono iniziate nel 2023, secondo la ricerca dell'Unità 42
GoBruteforcer è stato documentato per la prima volta nel marzo 2023 dall'Unità 42 di Palo Alto Networks, che ne ha descritto la capacità di compromettere sistemi Unix-like con architetture x86, x64 e ARM. Il malware implementa un bot di chat Internet Relay e una web shell, che gli aggressori utilizzano per mantenere l'accesso remoto.
Nel settembre 2025, i ricercatori dei Black Lotus Labs di Lumen Technologies hanno scoperto che una parte dei computer infetti collegati a un'altra famiglia di malware, SystemBC, erano anch'essi nodi GoBruteforcer. Gli analisti di Check Point hanno confrontato gli elenchi di password utilizzati negli attacchi con un database di circa 10 milioni didenttrapelate e hanno riscontrato una sovrapposizione di circa il 2,44%.
Sulla base di questa sovrapposizione, hanno stimato che decine di migliaia di server di database potrebbero accettare una delle password utilizzate dalla botnet. Il rapporto Cloud Threat Horizons del 2024 di Google ha rilevato chedentdeboli o mancanti erano responsabili del 47,2% dei vettori di accesso iniziali negli ambienti cloud violati.
La ricerca rivela che la blockchain e l'intelligenza artificiale rivelano dati privati
Nei casi in cui GoBrute è stato tracin ambienti di criptovaluta, gli hacker della rete hanno utilizzato nomi utente e varianti di password a tema crittografico che corrispondevano alle convenzioni di denominazione dei progetti blockchain. Altre campagne hanno preso di mira i pannelli phpMyAdmin collegati ai siti WordPress, un servizio per siti web e dashboard di progetto.
"Alcune attività sono chiaramente focalizzate su un settore specifico. Ad esempio, abbiamo osservato un attacco che utilizzava nomi utente a tema crittografico come cryptouser, appcrypto, crypto_app e crypto. In queste esecuzioni, le password utilizzate combinavano la lista debole standard con ipotesi specifiche per il settore crittografico come cryptouser1 o crypto_user1234", ha affermato Check Point, citando esempi di password.
Check Point hadentun server compromesso utilizzato per ospitare un modulo che scansionava gli indirizzi blockchain TRON e interrogava i saldi tramite un'API blockchain pubblica perdenti portafogli contenenti fondi.
"La combinazione di infrastrutture esposte,dentdeboli e strumenti sempre più automatizzati... Sebbene la botnet in sé sia tecnicamente semplice, i suoi operatori traggono vantaggio dal numero di servizi online non configurati correttamente", ha scritto la società di sicurezza.
