Pesquisadores de seguran\u00e7a cibern\u00e9tica expuseram uma nova campanha que tem como alvo servidores web que executam aplicativos baseados em PHP para promover plataformas de jogos de azar na Indon\u00e9sia.<\/p>\n\n\n\n
“Nos \u00faltimos dois meses, um volume significativo de ataques de bots baseados em Python foi observado, sugerindo um esfor\u00e7o coordenado para explorar milhares de aplicativos da web”, disse<\/a> o pesquisador da Imperva Daniel Johnston em uma an\u00e1lise. “Esses ataques parecem vinculados \u00e0 prolifera\u00e7\u00e3o de sites relacionados a jogos de azar, potencialmente como uma resposta ao maior escrut\u00ednio do governo<\/a> .”<\/p>\n\n\n\n A empresa de propriedade da Thales disse ter detectado milh\u00f5es de solicita\u00e7\u00f5es originadas de um cliente Python que inclui um comando para instalar o GSocket<\/a> (tamb\u00e9m conhecido como Global Socket), uma ferramenta de c\u00f3digo aberto que pode ser usada para estabelecer um canal de comunica\u00e7\u00e3o entre duas m\u00e1quinas, independentemente do per\u00edmetro da rede.<\/p>\n\n\n\n Vale ressaltar que o GSocket foi usado em muitas<\/a> opera\u00e7\u00f5es de cryptojacking<\/a> nos \u00faltimos meses, sem mencionar at\u00e9 mesmo a explora\u00e7\u00e3o do acesso fornecido pelo utilit\u00e1rio para inserir c\u00f3digo JavaScript malicioso em sites para roubar informa\u00e7\u00f5es de pagamento<\/a> .<\/p>\n\n\n\n As cadeias de ataque envolvem particularmente tentativas de implantar o GSocket alavancando web shells pr\u00e9-existentes instalados em servidores j\u00e1 comprometidos. A maioria dos ataques foi encontrada para destacar servidores que executam um popular sistema de gerenciamento de aprendizagem (LMS) chamado Moodle.<\/p>\n\n\n\n Um aspecto not\u00e1vel dos ataques s\u00e3o as adi\u00e7\u00f5es aos arquivos de sistema bashrc<\/a> e crontab<\/a> para garantir que o GSocket esteja em execu\u00e7\u00e3o ativa mesmo ap\u00f3s a remo\u00e7\u00e3o dos shells da web.<\/p>\n\n\n\n Foi determinado que o acesso oferecido pelo GSocket a esses servidores de destino \u00e9 usado como arma para fornecer arquivos PHP que cont\u00eam conte\u00fado HTML referenciando servi\u00e7os de jogos de azar online, especialmente destinados a usu\u00e1rios indon\u00e9sios.<\/p>\n\n\n\n “No topo de cada arquivo PHP havia um c\u00f3digo PHP projetado para permitir que apenas rob\u00f4s de busca acessassem a p\u00e1gina, mas visitantes regulares do site seriam redirecionados para outro dom\u00ednio<\/a> “, disse Johnston. “O objetivo por tr\u00e1s disso \u00e9 atingir usu\u00e1rios que buscam servi\u00e7os de apostas conhecidos e, ent\u00e3o, redirecion\u00e1-los para outro dom\u00ednio.”<\/p>\n\n\n\n A Imperva disse que os redirecionamentos levam ao ” pktoto[.]cc<\/a> “, um conhecido site de apostas indon\u00e9sio.<\/p>\n\n\n\n