Investigadores de ciberseguridad han expuesto una nueva campa\u00f1a dirigida a servidores web que ejecutan aplicaciones basadas en PHP para promover plataformas de juegos de azar en Indonesia.<\/p>\n
“Durante los \u00faltimos dos meses, se ha observado un volumen significativo de ataques de bots basados \u200b\u200ben Python, lo que sugiere un esfuerzo coordinado para explotar miles de aplicaciones web”, dijo el investigador de Imperva, Daniel Johnston. dicho<\/a> en un an\u00e1lisis. “Estos ataques parecen estar relacionados con la proliferaci\u00f3n de sitios relacionados con los juegos de azar, potencialmente como respuesta a la mayor escrutinio gubernamental<\/a>“.<\/p>\n La empresa propiedad de Thales dijo que ha detectado millones de solicitudes provenientes de un cliente Python que incluye un comando para instalar. GSocket<\/a> (tambi\u00e9n conocido como Global Socket), una herramienta de c\u00f3digo abierto que se puede utilizar para establecer un canal de comunicaci\u00f3n entre dos m\u00e1quinas independientemente del per\u00edmetro de la red.<\/p>\n Vale la pena se\u00f1alar que GSocket se ha utilizado en muchas operaciones de criptojacking en los \u00faltimos meses, sin mencionar incluso la explotaci\u00f3n del acceso proporcionado por la utilidad para insertar c\u00f3digo JavaScript malicioso en sitios para robar informaci\u00f3n de pago.<\/p>\n Las cadenas de ataques involucran particularmente intentos de implementar GSocket aprovechando los shells web preexistentes instalados en servidores ya comprometidos. Se ha descubierto que la mayor\u00eda de los ataques apuntan a servidores que ejecutan un popular sistema de gesti\u00f3n de aprendizaje (LMS) llamado Moodle.<\/p>\n Un aspecto destacable de los ataques son las adiciones a bashrc<\/a> y crontab<\/a> archivos del sistema para garantizar que GSocket se est\u00e9 ejecutando activamente incluso despu\u00e9s de la eliminaci\u00f3n de los shells web.<\/p>\n Se ha determinado que el acceso proporcionado por GSocket a estos servidores de destino se utiliza como arma para entregar archivos PHP que contienen contenido HTML que hace referencia a servicios de juegos de azar en l\u00ednea dirigidos particularmente a usuarios indonesios.<\/p>\n “En la parte superior de cada archivo PHP hab\u00eda un c\u00f3digo PHP dise\u00f1ado para permitir que s\u00f3lo los robots de b\u00fasqueda accedieran a la p\u00e1gina, pero los visitantes habituales del sitio ser\u00edan redirigidos a otro dominio<\/a>“, dijo Johnston. “El objetivo detr\u00e1s de esto es dirigirse a los usuarios que buscan servicios de juegos de azar conocidos y luego redirigirlos a otro dominio”.<\/p>\n Imperva dijo que las redirecciones conducen a “pctoto[.]cc<\/a>“, un conocido sitio de apuestas de Indonesia.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Los-bots-basados-\u200b\u200ben-Python-que-explotan-servidores-PHP-impulsan.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n