Pesquisadores de segurança cibernética identificaram uma nova campanha que explora servidores web rodando aplicativos em PHP para promover plataformas de jogos de azar, principalmente direcionadas ao público indonésio.
Segundo Daniel Johnston, pesquisador da Imperva, o volume de ataques por bots baseados em Python cresceu significativamente nos últimos dois meses. Ele destaca que os ataques aparentam ser parte de um esforço coordenado para explorar milhares de aplicativos web, contribuindo para a expansão de sites de apostas como resposta a um maior controle governamental.
Uso de GSocket em ataques
A Imperva detectou milhões de solicitações originadas de bots Python, programados para instalar o GSocket (Global Socket). Essa ferramenta de código aberto cria canais de comunicação entre máquinas, ignorando barreiras de rede, e foi frequentemente utilizada em ataques de cryptojacking nos últimos meses. Além disso, o GSocket facilitou a injeção de códigos JavaScript maliciosos em sites, permitindo o roubo de dados de pagamento dos usuários.
Os ataques incluem a instalação do GSocket em servidores comprometidos, utilizando shells web previamente infiltrados. A maioria das tentativas foca em servidores com o sistema de gerenciamento de aprendizado Moodle.
Persistência e redirecionamentos maliciosos
Uma característica marcante da campanha é a modificação de arquivos bashrc e crontab nos servidores-alvo, garantindo a execução contínua do GSocket, mesmo após a remoção dos web shells. Esses servidores são então usados para hospedar arquivos PHP contendo conteúdo HTML que redireciona visitantes para sites de jogos de azar, como o “pktoto[.]cc”.
Notícias Relacionadas
Guia completo sobre 1win bet. Como aproveitar a 1win plataforma
A 1win é uma plataforma de apostas online que se destaca pela sua ampla oferta de jogos e apostas esportivas. Ela oferece uma experiência completa tanto para apostadores iniciantes quanto para veteranos, com uma interface fácil de usar e opções diversificadas de apostas. A 1win bet é uma das seções mais populares da plataforma, onde […]
Como usar e-mails frios para fazer sua startup crescer
Uma das melhores formas de dar o pontapé inicial na sua startup e impulsionar seu crescimento é usando e-mails frios. Essa estratégia é muito poderosa quando usada com o plano e a execução correta. Neste artigo, falaremos sobre como você pode usar e-mails frios para aumentar e atrair clientes. O que exatamente são e-mails frios? […]
Interessantemente, o código PHP nos arquivos é programado para permitir acesso apenas a robôs de busca, enquanto visitantes comuns são redirecionados para outros domínios. Essa estratégia visa atrair usuários que procuram serviços de apostas populares, redirecionando-os para sites específicos.
Ataques em larga escala com malware JavaScript
Além disso, outra campanha de malware, identificada pela c/side, comprometeu mais de 5.000 sites globalmente. Essa operação inclui a criação de contas de administrador não autorizadas, instalação de plugins maliciosos e roubo de credenciais. O malware, apelidado de WP3.XYZ, utiliza um domínio específico para buscar os plugins e exfiltrar dados.
Medidas de prevenção recomendadas
Para proteger seus sites, administradores devem:
- Manter plugins e sistemas sempre atualizados;
- Bloquear domínios maliciosos, como o wp3[.]xyz, com um firewall;
- Realizar auditorias regulares para identificar contas ou plugins suspeitos e removê-los.
