Por agora, a botnet conta com 1.5 milhões de máquinas online. Possui um único servidor de comando e controlo com o IP 104[.]156[.]249[.]231). Os bots trocam dados entre si através de conexões Websocket com AES na porta 8333.
Recorrendo ao motor de busca Shodan, é possível verificar que sistemas com RDP exposto representam aproximadamente 2.4 milhões de máquinas.
Funcionamento do ataque:
- a botnet procura atacar os sistemas por força bruta, ganhando acesso ao sistema
- Faz download de um arquivo zip com código em java e o próprio Java runtime. Depois, descomprime e corre um ficheiro em jar "bitcoin.dll"
Durante o processo de força-bruta, os resultados são reportados ao servidor C&C.
Esta botnet é difícil de detetar, pois por cada máquina host ou cada bot apenas lança uma tentativa de de força-bruta.
Fonte: https://www.bleepingcomputer.com/news/security/new-goldbrute-botnet-is-trying-to-hack-15-million-rdp-servers/