Janeiro 21, 2025
Rico Olivetti Desenvolvimento, Tecnologia

Bots baseados em Python explorando servidores PHP alimentam a proliferação de plataformas de jogos de azar

Pesquisadores de segurança cibernética expuseram uma nova campanha que tem como alvo servidores web que executam aplicativos baseados em PHP para promover plataformas de jogos de azar na Indonésia.

“Nos últimos dois meses, um volume significativo de ataques de bots baseados em Python foi observado, sugerindo um esforço coordenado para explorar milhares de aplicativos da web”, disse o pesquisador da Imperva Daniel Johnston em uma análise. “Esses ataques parecem vinculados à proliferação de sites relacionados a jogos de azar, potencialmente como uma resposta ao maior escrutínio do governo .”

A empresa de propriedade da Thales disse ter detectado milhões de solicitações originadas de um cliente Python que inclui um comando para instalar o GSocket (também conhecido como Global Socket), uma ferramenta de código aberto que pode ser usada para estabelecer um canal de comunicação entre duas máquinas, independentemente do perímetro da rede.

Vale ressaltar que o GSocket foi usado em muitas operações de cryptojacking nos últimos meses, sem mencionar até mesmo a exploração do acesso fornecido pelo utilitário para inserir código JavaScript malicioso em sites para roubar informações de pagamento .

As cadeias de ataque envolvem particularmente tentativas de implantar o GSocket alavancando web shells pré-existentes instalados em servidores já comprometidos. A maioria dos ataques foi encontrada para destacar servidores que executam um popular sistema de gerenciamento de aprendizagem (LMS) chamado Moodle.

Um aspecto notável dos ataques são as adições aos arquivos de sistema bashrc e crontab para garantir que o GSocket esteja em execução ativa mesmo após a remoção dos shells da web.

Foi determinado que o acesso oferecido pelo GSocket a esses servidores de destino é usado como arma para fornecer arquivos PHP que contêm conteúdo HTML referenciando serviços de jogos de azar online, especialmente destinados a usuários indonésios.

“No topo de cada arquivo PHP havia um código PHP projetado para permitir que apenas robôs de busca acessassem a página, mas visitantes regulares do site seriam redirecionados para outro domínio “, disse Johnston. “O objetivo por trás disso é atingir usuários que buscam serviços de apostas conhecidos e, então, redirecioná-los para outro domínio.”

A Imperva disse que os redirecionamentos levam ao ” pktoto[.]cc “, um conhecido site de apostas indonésio.

O desenvolvimento ocorre no momento em que o c/side revelou uma ampla campanha de malware que teve como alvo mais de 5.000 sites no mundo todo para criar contas de administrador não autorizadas, instalar um plugin malicioso de um servidor remoto e desviar dados de credenciais de volta para ele.

O vetor de acesso inicial exato usado para implantar o malware JavaScript nesses sites não é conhecido atualmente. O malware recebeu o codinome WP3.XYZ em referência ao nome de domínio que está associado ao servidor usado para buscar o plugin e exfiltrar dados (“wp3[.]xyz”).

Para mitigar o ataque, é recomendável que os proprietários de sites WordPress mantenham seus plugins atualizados, bloqueiem o domínio invasor usando um firewall, verifiquem se há contas de administrador ou plugins suspeitos e os removam.