Hackers exploram falha crítica no PHP para implantar Quasar RAT e mineradores XMRig

Hackers estão explorando uma falha de segurança grave no PHP para distribuir mineradores de criptomoedas e trojans de acesso remoto (RATs), como o Quasar RAT.

A vulnerabilidade, identificada como CVE-2024-4577, é uma falha de injeção de argumentos que afeta sistemas Windows executando PHP no modo CGI, permitindo que invasores remotos executem código arbitrário nos servidores comprometidos.

A empresa de cibersegurança Bitdefender relatou um aumento nas tentativas de exploração dessa vulnerabilidade desde o final do ano passado. As regiões mais afetadas incluem Taiwan (54,65%), Hong Kong (27,06%), Brasil (16,39%), Japão (1,57%) e Índia (0,33%).

Cerca de 15% das tentativas de exploração detectadas envolvem verificações básicas da vulnerabilidade, utilizando comandos como "whoami" e "echo <test_string>". Outros 15% concentram-se em reconhecimento do sistema, incluindo enumeração de processos, descoberta de redes, obtenção de informações de usuários, domínios e metadados do sistema.

Segundo Martin Zugec, diretor de soluções técnicas da Bitdefender, pelo menos 5% dos ataques resultaram na implantação do minerador XMRig, utilizado para mineração não autorizada de criptomoedas.

"Outra campanha menor envolveu a implantação do Nicehash miner, uma plataforma que permite aos usuários vender poder de computação para mineração de criptomoedas", explicou Zugec. O processo do minerador foi disfarçado como um aplicativo legítimo, como javawindows.exe, para evitar a detecção.

Outros ataques utilizaram a vulnerabilidade para instalar ferramentas de acesso remoto, como o Quasar RAT, um software de código aberto amplamente utilizado por hackers. Além disso, foram identificadas tentativas de executar arquivos MSI maliciosos hospedados em servidores remotos usando cmd.exe.

Curiosamente, a Bitdefender também observou tentativas de modificar as configurações de firewall nos servidores vulneráveis para bloquear o acesso a IPs maliciosos conhecidos. Esse comportamento sugere que grupos rivais de cryptojacking estão competindo pelo controle dos recursos infectados, impedindo que seus concorrentes explorem os mesmos servidores. Essa prática é comum, pois grupos de hackers costumam eliminar mineradores concorrentes antes de implantar seus próprios malwares.

A descoberta ocorre logo após a Cisco Talos divulgar detalhes sobre uma campanha que explora essa mesma falha no PHP para atacar organizações japonesas desde o início do ano.

Os usuários são fortemente recomendados a atualizar suas instalações do PHP para a versão mais recente e reforçar as medidas de segurança contra possíveis ataques.

"Como a maioria dessas campanhas utiliza ferramentas de Living Off The Land (LOTL), as organizações devem restringir o uso de ferramentas como PowerShell, permitindo acesso apenas a usuários privilegiados, como administradores", alertou Zugec.

Via - THN