Os cibercriminosos estão explorando uma falha grave no PHP para distribuir trojans de acesso remoto (RATs) e mineradores de criptomoedas, como o Quasar RAT e o XMRig. Essa vulnerabilidade, identificada como CVE-2024-4577, afeta sistemas Windows operando no modo CGI, permitindo a execução remota de código malicioso.
Hackers exploram vulnerabilidade do PHP para distribuir Quasar RAT e mineradores XMRig
De acordo com a empresa de segurança cibernética Bitdefender, houve um aumento expressivo nas tentativas de exploração dessa falha desde o final de 2024. A distribuição geográfica dos ataques tem sido mais significativa em Taiwan (54,65%), Hong Kong (27,06%), Brasil (16,39%), Japão (1,57%) e Índia (0,33%).
Cerca de 15% das tentativas detectadas envolvem simples verificações de vulnerabilidade, utilizando comandos como “whoami” e “echo <test_string>”. Outros 15% estão associados ao reconhecimento de sistema, incluindo enumeração de processos, descoberta de rede e coleta de metadados.
Implantação de mineradores XMRig e Nicehash
A Bitdefender identificou que cerca de 5% dos ataques culminaram na instalação do minerador de criptomoedas XMRig. Outra campanha menor revelou o uso do Nicehash, plataforma que permite a venda de poder de computação em troca de criptomoedas. Para evitar detecção, os mineradores são disfarçados como aplicativos legítimos, como “javawindows.exe”.
Notícias Relacionadas
Alerta crítico
Falha grave no Apache Roller expõe sessões ativas a invasores
Uma falha no Apache Roller permite que sessões antigas permaneçam ativas após alteração de senha, abrindo caminho para acessos não autorizados. A correção veio apenas na versão 6.1.5.
Segurança digital
Vulnerabilidade no Yelp do Ubuntu expõe chaves SSH através de links maliciosos
Uma falha no sistema de ajuda do Ubuntu permite que links específicos revelem informações privadas, como sua chave SSH. Veja como isso acontece e como evitar.
Uso do Quasar RAT e manipulação de firewalls
Além da distribuição de mineradores, os cibercriminosos estão explorando a vulnerabilidade para implantar o Quasar RAT, um trojan de acesso remoto de código aberto. Os ataques utilizam arquivos MSI maliciosos, hospedados em servidores remotos e executados via cmd.exe.
Curiosamente, algumas atividades identificadas envolvem a modificação de configurações de firewall em servidores comprometidos para bloquear acessos a IPs maliciosos conhecidos. Esse comportamento sugere que grupos rivais de cryptojacking estejam competindo pelo controle de máquinas vulneráveis, impedindo que seus concorrentes explorem os mesmos recursos.
Recomendações de segurança
A vulnerabilidade do PHP já foi utilizada em ataques direcionados a organizações japonesas, conforme revelado pela Cisco Talos. Para mitigar riscos, especialistas recomendam a atualização imediata do PHP para a versão mais recente.
Além disso, empresas devem limitar o uso de ferramentas Living-off-the-Land (LOTL), como o PowerShell, permitindo seu uso apenas para administradores e usuários privilegiados. Essas medidas reduzem as chances de exploração e dificultam a atuação de agentes maliciosos.
