Hackers utilizam bots baseados em Python para explorar servidores PHP e impulsionar plataformas de jogos de azar

Pesquisadores de cibersegurança descobriram uma nova campanha que tem como alvo servidores web executando aplicativos baseados em PHP para promover plataformas de jogos de azar na Indonésia.

"Nos últimos dois meses, foi observado um volume significativo de ataques realizados por bots baseados em Python, sugerindo um esforço coordenado para explorar milhares de aplicativos web", afirmou Daniel Johnston, pesquisador da Imperva, em uma análise. "Esses ataques parecem estar ligados à proliferação de sites relacionados a jogos de azar, possivelmente em resposta ao aumento da fiscalização governamental."

A empresa, que pertence ao grupo Thales, detectou milhões de solicitações originadas de um cliente Python que inclui um comando para instalar o GSocket (também conhecido como Global Socket), uma ferramenta de código aberto capaz de estabelecer um canal de comunicação entre duas máquinas, independentemente do perímetro de rede.

Vale destacar que o GSocket tem sido utilizado recentemente em diversas operações de cryptojacking e também para explorar o acesso fornecido pela ferramenta, inserindo código JavaScript malicioso em sites para roubar informações de pagamento.

Os ataques envolvem principalmente tentativas de implantar o GSocket por meio de shells web pré-existentes instalados em servidores já comprometidos. A maioria das invasões foi direcionada a servidores que executam o Moodle, um sistema de gerenciamento de aprendizado (LMS) popular.

Um aspecto notável desses ataques é a modificação de arquivos de sistema, como o bashrc e o crontab, para garantir que o GSocket continue em execução mesmo após a remoção dos shells web.

Foi constatado que o acesso concedido pelo GSocket a esses servidores foi utilizado para distribuir arquivos PHP contendo conteúdo HTML que fazia referência a serviços de jogos de azar online, especialmente voltados para usuários indonésios.

"No topo de cada arquivo PHP havia um código projetado para permitir o acesso apenas de bots de busca à página, enquanto visitantes regulares do site eram redirecionados para outro domínio", explicou Johnston. "O objetivo é direcionar usuários que buscam por serviços de jogos de azar conhecidos para outro domínio."

A Imperva afirmou que os redirecionamentos levam ao domínio "pktoto[.]cc", um site de jogos de azar conhecido na Indonésia.

A descoberta ocorre enquanto a c/side revelou uma campanha de malware em larga escala que atingiu mais de 5.000 sites globalmente, criando contas de administrador não autorizadas, instalando um plugin malicioso de um servidor remoto e enviando dados de credenciais de volta para o invasor.

O vetor de acesso inicial usado para implantar o malware JavaScript nesses sites ainda não foi identificado. O malware foi apelidado de WP3.XYZ, em referência ao domínio associado ao servidor usado para buscar o plugin e exfiltrar dados ("wp3[.]xyz").

Para mitigar esses ataques, recomenda-se que os administradores de sites WordPress mantenham seus plugins atualizados, bloqueiem o domínio malicioso por meio de firewall, realizem varreduras em busca de contas de administrador ou plugins suspeitos e os removam.

Via - THN