A botnet explora senhas fracas para invadir servidores de criptomoedas e blockchain

Segundo uma nova pesquisa da Check Point, bancos de dados de projetos de criptomoedas e blockchain comdentfracas e gerados por IA estão sendo invadidos por meio de padrões de implantação identificados por botnets.

Uma botnet de malware chamada GoBruteforcer é capaz de comprometer servidores Linux e transformá-los em nós automatizados de quebra de senhas, afirmou a empresa de cibersegurança. O programa de hackers afetou a infraestrutura usada por projetos de criptomoedas, incluindo servidores de banco de dados, serviços de transferência de arquivos e painéis de administração web. 

O GoBrut consegue vasculhar a internet em busca de serviços com segurança precária e tenta acessar esses serviços usando nomes de usuário populares e senhas fracas. Uma vez comprometido, o sistema é adicionado a uma rede distribuída que pode ser acessada remotamente por uma rede de hackers.

A botnet GoBruteforcer consegue quebrar senhas mal elaboradas

De acordo com o relatório da Check Point publicado na última quarta-feira, a botnet consegue contornar as proteções de serviços como FTP, MySQL, PostgreSQL e phpMyAdmin. Esses programas são usados por startups de blockchain e desenvolvedores de aplicativos descentralizados para gerenciar dados de usuários, lógica de aplicativos e painéis internos.

Os sistemas invadidos pelo GoBrute podem receber comandos de um servidor de comando e controle, ditando qual serviço atacar e fornecendodentpara tentativas de força bruta. Os dados de login revelados são reutilizados para acessar outros sistemas, roubar dados privados, criar contas ocultas e expandir o alcance da botnet.

A Check Point também mencionou que os hosts infectados podem ser reaproveitados para hospedar payloads maliciosos, distribuir malware para novas vítimas ou se tornarem servidores de controle de backup caso o sistema principal apresente períodos de inatividade.

Atualmente, muitas equipes de desenvolvimento, incluindo as de grandes empresas de tecnologia como Microsoft e Amazon, utilizam trechos de código e guias de configuração gerados por grandes modelos de linguagem (LLMs) ou copiados de fóruns online. 

A Check Point explicou que, como os modelos de IA não conseguem criar novas senhas e geralmente imitam o que lhes foi ensinado, eles tornam os nomes de usuário e as senhas padrão muito previsíveis , não os alterando com rapidez suficiente antes que os sistemas sejam expostos à internet.

O problema se torna ainda mais grave quando se utilizam plataformas web legadas como o XAMPP, que podem expor serviços administrativos por padrão e fornecer um ponto de entrada fácil para hackers.

As campanhas do GoBruteforcer começaram em 2023, segundo pesquisa da Unit 42

O GoBruteforcer foi documentado pela primeira vez em março de 2023 pela Unit 42 da Palo Alto Networks, que detalhou sua capacidade de comprometer sistemas do tipo Unix com arquiteturas x86, x64 e ARM. O malware implanta um bot IRC (Internet Relay Chat) e um web shell, que os atacantes usam para manter o acesso remoto.

Em setembro de 2025, pesquisadores do Black Lotus Labs, da Lumen Technologies, descobriram que uma parte das máquinas infectadas por outra família de malware, o SystemBC, também eram nós do GoBruteforcer. Analistas da Check Point compararam as listas de senhas usadas nos ataques com um banco de dados de aproximadamente 10 milhões dedentvazadas e encontraram uma sobreposição de cerca de 2,44%.

Com base nessa sobreposição, eles estimaram que dezenas de milhares de servidores de banco de dados poderiam aceitar uma das senhas usadas pela botnet. O relatório Cloud Threat Horizons 2024 do Google constatou quedentfracas ou ausentes foram responsáveis por 47,2% dos vetores de acesso inicial em ambientes de nuvem comprometidos.

Pesquisa revela que o reconhecimento por blockchain e IA expõe dados privados

Nos casos em que o GoBrute foi tracem ambientes de criptomoedas, os hackers de rede usaram nomes de usuário com temas criptográficos e variantes de senhas que correspondiam às convenções de nomenclatura de projetos de blockchain. Outras campanhas visaram painéis do phpMyAdmin vinculados a sites WordPress, um serviço para sites e dashboards de projetos. 

“Algumas tarefas são claramente focadas em setores específicos. Por exemplo, observamos um ataque que utilizou nomes de usuário com temas de criptografia, como cryptouser, appcrypto, crypto_app e crypto. Nessas execuções, as senhas utilizadas combinavam a lista padrão de senhas fracas com palpites específicos de criptografia, como cryptouser1 ou crypto_user1234”, afirmou a Check Point, citando exemplos de senhas.

A Check Pointdentum servidor comprometido que estava sendo usado para hospedar um módulo que escaneava endereços da blockchain TRON e consultava saldos por meio de uma API pública da blockchain paradentcarteiras que continham fundos.

“A combinação de infraestrutura exposta,dentfracas e ferramentas cada vez mais automatizadas. Embora a botnet em si seja tecnicamente simples, seus operadores se beneficiam do número de serviços mal configurados online”, escreveu a empresa de segurança.

Não leia apenas notícias sobre criptomoedas. Entenda-as. Assine nossa newsletter. É grátis .