A gangue de ransomware TellYouThePass vem explorando a vulnerabilidade de execução de código remoto recentemente corrigida, CVE-2024-4577, em PHP para entregar webshells e executar o payload de criptografia nos sistemas alvo.
Os ataques começaram em 8 de junho, menos de 48 horas após a liberação das atualizações de segurança pelos mantenedores do PHP, e dependeram de código de exploração disponível publicamente.
O ransomware TellYouThePass é conhecido por rápida utilização de exploits públicos para vulnerabilidades de grande impacto.
Em novembro último, eles utilizaram um RCE do Apache ActiveMQ em ataques e, em dezembro de 2021, adotaram o exploit do Log4j para invadir empresas.
Nos ataques mais recentes identificados por pesquisadores da empresa de cibersegurança Imperva, o TellYouThePass explora a vulnerabilidade de gravidade crítica, CVE-2024-4577, para executar código PHP arbitrário, usando o binário do Windows mshta.exe para rodar um arquivo HTA (aplicativo HTML) malicioso.
Esse arquivo contém VBScript com uma string codificada em base64 que, quando decodificada, transforma-se em um binário, carregando uma variante .NET do ransomware na memória do hospedeiro, explicam os pesquisadores da Imperva.
Após a execução, o malware envia uma requisição HTTP para um servidor de comando e controle (C2) disfarçada de solicitação de recurso CSS e criptografa arquivos na máquina infectada.
Em seguida, coloca uma nota de resgate, "READ_ME10.html", com instruções para a vítima sobre como restaurar seus arquivos.
Um usuário que teve o computador que hospedava seu site criptografado descobriu que a campanha de ransomware TellYouThePass tinha impactado vários sites.
CVE-2024-4577 é uma vulnerabilidade crítica de RCE que impacta todas as versões de PHP desde 5.x.
Origina-se de conversões inseguras de codificação de caracteres no Windows quando usado em modo CGI.
A vulnerabilidade foi descoberta em 7 de maio por Orange Tsai da Devcore, que a reportou à equipe do PHP.
Uma correção foi entregue em 6 de junho com o lançamento das versões PHP 8.3.8, 8.2.20 e 8.1.29.
Na sexta-feira, um dia após o patch, a WatchTowr Labs divulgou código de exploração de prova de conceito (PoC) para CVE-2024-4557.
No mesmo dia, a The Shadowserver Foundation observou tentativas de exploração em seus honeypots.
De acordo com um relatório da Censys de ontem, há mais de 450.000 servidores PHP expostos que podem ser vulneráveis à vulnerabilidade RCE CVE-2024-4577, a maioria deles localizados nos Estados Unidos e na Alemanha.
A startup de segurança de nuvem Wiz deu uma estimativa mais específica de quantas dessas instâncias podem ser vulneráveis, colocando o número em cerca de 34%.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...