Pesquisadores de cibersegurança revelaram uma nova campanha que visa servidores web que executam aplicações baseadas em PHP para promover plataformas de apostas na Indonésia.
"Nos últimos dois meses, observou-se um volume significativo de ataques de bots baseados em Python, sugerindo um esforço coordenado para explorar milhares de aplicativos web", disse o pesquisador da Imperva, Daniel Johnston, em uma análise.
Esses ataques parecem estar ligados à proliferação de sites relacionados a jogos de azar, potencialmente como resposta ao aumento da fiscalização governamental.
A empresa, que pertence à Thales, disse que detectou milhões de solicitações originárias de um cliente Python que inclui um comando para instalar o GSocket (também conhecido como Global Socket), uma ferramenta de código aberto que pode ser usada para estabelecer um canal de comunicação entre duas máquinas, independentemente do perímetro de rede.
Vale ressaltar que o GSocket tem sido utilizado em muitas operações de cryptojacking nos últimos meses, sem contar o aproveitamento do acesso fornecido pela utilidade para inserir código JavaScript malicioso em sites a fim de roubar informações de pagamento.
As cadeias de ataque envolvem tentativas de implantar o GSocket, aproveitando web shells pré-existentes instaladas em servidores já comprometidos.
A maioria dos ataques foi encontrada visando servidores que executam um sistema popular de gestão de aprendizado (LMS) chamado Moodle.
Um aspecto notável dos ataques são as adições aos arquivos de sistema bashrc e crontab para garantir que o GSocket esteja ativo mesmo após a remoção dos web shells.
Determinou-se que o acesso proporcionado pelo GSocket a esses servidores-alvo é utilizado para entregar arquivos PHP que contêm conteúdo HTML referenciando serviços de apostas online, visando especialmente usuários indonésios.
"No topo de cada arquivo PHP havia um código PHP projetado para permitir apenas que bots de busca acessassem a página, mas visitantes regulares do site seriam redirecionados para outro domínio", disse Johnston.
O objetivo por trás disso é mirar usuários que buscam por serviços de apostas conhecidos, para então redirecioná-los para outro domínio.
A Imperva disse que os redirecionamentos levam a "pktoto[.]cc", um conhecido site indonésio de apostas.
O desenvolvimento surge enquanto a c/side revelou uma campanha de malware generalizada que tem como alvo mais de 5.000 sites globalmente para criar contas de administrador não autorizadas, instalar um plugin malicioso de um servidor remoto e sifonar dados de credenciais de volta para ele.
O vetor de acesso inicial exato usado para implantar o malware JavaScript nesses sites atualmente não é conhecido.
O malware foi codinomeado WP3.XYZ em referência ao nome do domínio associado ao servidor usado para buscar o plugin e exfiltrar dados ("wp3[.]xyz").
Para mitigar o ataque, é recomendado que os proprietários de sites WordPress mantenham seus plugins atualizados, bloqueiem o domínio nocivo usando um firewall, façam varreduras em busca de contas de administração suspeitas ou plugins, e os removam.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...