Cibercriminosos estão explorando uma grave vulnerabilidade no PHP para distribuir mineradores de criptomoedas e trojans de acesso remoto (RATs), como o Quasar RAT. A falha, identificada como CVE-2024-4577, permite que invasores executem código arbitrário em sistemas Windows operando no modo CGI.
Hackers exploram vulnerabilidade no PHP para disseminar malware
Ataques se intensificam globalmente
De acordo com a Bitdefender, as tentativas de exploração da falha aumentaram desde o final de 2024. Os países mais afetados incluem:
- Taiwan (54,65%)
- Hong Kong (27,06%)
- Brasil (16,39%)
- Japão (1,57%)
- Índia (0,33%)
Estratégias dos atacantes
Os ataques utilizam diferentes abordagens, sendo que 15% das tentativas detectadas envolvem comandos básicos de verificação, como “whoami” e “echo <test_string>”. Outros 15% concentram-se na enumeração de processos, descoberta de rede e coleta de metadados do sistema.
Segundo Martin Zugec, diretor de soluções técnicas da Bitdefender, 5% dos ataques culminaram na implantação do minerador XMRig. Além disso, foi identificada uma campanha menor que utiliza o minerador Nicehash, disfarçado como aplicativos legítimos, como “javawindows.exe”, para evitar detecção.
Notícias Relacionadas
Ameaça digital
Ransomware paralisa operações da Sensata Technologies e expõe dados corporativos
A Sensata Technologies foi alvo de ransomware que afetou operações e resultou no roubo de dados. A empresa está investigando o incidente com apoio externo e implementando medidas para retomar as atividades.
Segurança cibernética
Grupo chinês usa falha na ESET para implantar novo malware TCESB no Windows
Grupo ToddyCat explora falha no scanner da ESET para instalar o novo malware TCESB no Windows, usando técnicas furtivas e drivers vulneráveis da Dell para escapar da detecção.
Implantação do Quasar RAT e táticas de rivalidade
Outros ataques exploraram a falha para entregar o Quasar RAT, um trojan de código aberto utilizado para acesso remoto. Os criminosos utilizam comandos no cmd.exe para executar arquivos MSI maliciosos hospedados em servidores remotos.
Curiosamente, algumas tentativas de ataque incluíram a modificação de configurações de firewall em servidores comprometidos, bloqueando IPs maliciosos rivais. Isso sugere uma competição entre grupos de cryptojacking para monopolizar os recursos das máquinas infectadas. Essa tática já foi observada anteriormente em campanhas semelhantes.
Reforço na segurança e prevenção
O incidente ocorre logo após a Cisco Talos divulgar uma campanha que explora essa mesma falha em ataques direcionados contra organizações japonesas.
Para mitigar os riscos, especialistas recomendam atualizar o PHP para a versão mais recente. Além disso, como muitas dessas campanhas utilizam ferramentas “Living Off The Land” (LOTL), é recomendável restringir o uso do PowerShell a administradores e usuários privilegiados, reduzindo a superfície de ataque para ameaças desse tipo.
Manter sistemas atualizados e implementar restrições no ambiente são medidas fundamentais para minimizar os riscos de exploração dessa vulnerabilidade.
