Investigadores de ciberseguridad han expuesto una nueva campaña dirigida a servidores web que ejecutan aplicaciones basadas en PHP para promover plataformas de juegos de azar en Indonesia.
“Durante los últimos dos meses, se ha observado un volumen significativo de ataques de bots basados en Python, lo que sugiere un esfuerzo coordinado para explotar miles de aplicaciones web”, dijo el investigador de Imperva, Daniel Johnston. dicho en un análisis. “Estos ataques parecen estar relacionados con la proliferación de sitios relacionados con los juegos de azar, potencialmente como respuesta a la mayor escrutinio gubernamental“.
La empresa propiedad de Thales dijo que ha detectado millones de solicitudes provenientes de un cliente Python que incluye un comando para instalar. GSocket (también conocido como Global Socket), una herramienta de código abierto que se puede utilizar para establecer un canal de comunicación entre dos máquinas independientemente del perímetro de la red.
Vale la pena señalar que GSocket se ha utilizado en muchas operaciones de criptojacking en los últimos meses, sin mencionar incluso la explotación del acceso proporcionado por la utilidad para insertar código JavaScript malicioso en sitios para robar información de pago.
Las cadenas de ataques involucran particularmente intentos de implementar GSocket aprovechando los shells web preexistentes instalados en servidores ya comprometidos. Se ha descubierto que la mayoría de los ataques apuntan a servidores que ejecutan un popular sistema de gestión de aprendizaje (LMS) llamado Moodle.
Un aspecto destacable de los ataques son las adiciones a bashrc y crontab archivos del sistema para garantizar que GSocket se esté ejecutando activamente incluso después de la eliminación de los shells web.
Se ha determinado que el acceso proporcionado por GSocket a estos servidores de destino se utiliza como arma para entregar archivos PHP que contienen contenido HTML que hace referencia a servicios de juegos de azar en línea dirigidos particularmente a usuarios indonesios.
“En la parte superior de cada archivo PHP había un código PHP diseñado para permitir que sólo los robots de búsqueda accedieran a la página, pero los visitantes habituales del sitio serían redirigidos a otro dominio“, dijo Johnston. “El objetivo detrás de esto es dirigirse a los usuarios que buscan servicios de juegos de azar conocidos y luego redirigirlos a otro dominio”.
Imperva dijo que las redirecciones conducen a “pctoto[.]cc“, un conocido sitio de apuestas de Indonesia.
La promoción viene como c/lateral. reveló una campaña de malware generalizada que se ha dirigido a más de 5000 sitios en todo el mundo para crear cuentas de administrador no autorizadas, instalar un complemento malicioso desde un servidor remoto y desviar datos de credenciales hacia él.
Actualmente se desconoce el vector de acceso inicial exacto utilizado para implementar el malware JavaScript en estos sitios. El malware tiene el nombre en código WP3.XYZ en referencia al nombre de dominio asociado con el servidor utilizado para recuperar el complemento y filtrar datos (“wp3[.]xyz”).
Para mitigar el ataque, se recomienda que los propietarios de sitios de WordPress mantengan sus complementos actualizados, bloqueen el dominio fraudulento mediante un firewall, busquen cuentas de administrador o complementos sospechosos y los eliminen.
About the Author
