Ботнет GoBruteforcer охотится за криптовалютными базами данных

Исследователи Check Point Research зафиксировали новую волну атак ботнета GoBruteforcer на базы данных криптовалютных и блокчейн-проектов. Злоумышленники эксплуатируют слабые учётные данные для включения серверов в ботнет. Атакам подвергаются FTP, MySQL, PostgreSQL и phpMyAdmin на серверах под управлением Linux.

Специалисты кибербеза выделяют два фактора текущей волны атак. Первый — массовое использование примеров развёртывания серверов, сгенерированных искусственным интеллектом. Эти примеры содержат типовые имена пользователей и слабые настройки безопасности по умолчанию. Второй фактор — использование многими пользователями устаревших веб-платформ типа XAMPP с доступом к FTP и админкой с недостаточной защитой.

Список учётных данных содержит типовые комбинации вроде myuser:Abcd@123 или appeaser:admin123456. Эти комбинации использовались в обучающих материалах по базам данных и документации производителей. Те же материалы применялись для обучения больших языковых моделей, которые начали генерировать код с идентичными именами пользователей. Часть имён ориентирована на криптовалютную специфику: cryptouser, appcrypto, crypto_app. Другие нацелены на phpMyAdmin: root, wordpress, wpuser.

Анализ показал, что один сервер использовался для размещения модуля, перебирающего адреса блокчейна TRON через tronscanapi[.]com для выявления счетов с ненулевыми остатками.

Исследователи ИБ отмечают, что злоумышленники применяют компактный набор паролей для каждой кампании. Имена пользователей ротируются несколько раз в неделю. Для FTP используется отдельный набор, жёстко встроенный в исполняемый файл.

В сентябре 2025 года аналитики кибербеза также установили, что значительная часть заражённых ботов, контролируемых ВПО SystemBC, одновременно входит в состав ботнета GoBruteforcer.