В последние два месяца наблюдается резкий всплеск скоординированной кибератаки, нацеленной на продвижение азартных игр в Индонезии. Злоумышленники используют Python-ботов для эксплуатации уязвимостей PHP-приложений на веб-серверах, разворачивая целую сеть для перенаправления пользователей на игорные платформы.
Исследователи из компании Imperva, принадлежащей Thales, установили, что миллионы запросов от Python-ботов направлены на установку GSocket (Global Socket) – инструмента для установления коммуникационных каналов между машинами. Ранее GSocket уже применялся для криптоджекинга и внедрения вредоносного JavaScript-кода, но сейчас он служит отправной точкой для новой преступной схемы. Злоумышленники используют уже скомпрометированные серверы, на которых установлены веб-оболочки, для развертывания GSocket. Основной мишенью становятся серверы, работающие на базе популярной системы управления обучением Moodle.
Для закрепления GSocket в системе злоумышленники вносят изменения в системные файлы bashrc и crontab, обеспечивая его постоянную активность. После установки GSocket используется для доставки PHP-файлов, содержащих HTML-контент, который продвигает индонезийские азартные сайты. Код в этих файлах настроен таким образом, что обычных пользователей перенаправляют на сайт pktoto[.]cc, в то время как поисковые боты могут получить доступ к оригинальному контенту. Это обеспечивает скрытность и маскировку злоумышленных действий от нецелевой аудитории.
Помимо этой скоординированной кампании с использованием Python, команда исследователей c/side выявила отдельную вредоносную операцию под кодовым названием , нацеленную на более чем 5000 сайтов WordPress по всему миру. Этот вредоносный код нацелен на создание неавторизованных администраторских учетных записей, установку вредоносных плагинов и хищение конфиденциальных данных. Связь с вредоносным ПО ведет к домену wp3[.]xyz.
Для защиты от этих угроз владельцам сайтов WordPress рекомендуется обновить плагины, заблокировать домен wp3[.]xyz и провести тщательное сканирование на предмет подозрительных плагинов и учетных записей, удаляя любые обнаруженные вредоносные элементы. Своевременные меры предосторожности и внимательность к происходящему в системах необходимы для предотвращения дальнейшего распространения этих угроз.
Изображение носит иллюстративный характер
Исследователи из компании Imperva, принадлежащей Thales, установили, что миллионы запросов от Python-ботов направлены на установку GSocket (Global Socket) – инструмента для установления коммуникационных каналов между машинами. Ранее GSocket уже применялся для криптоджекинга и внедрения вредоносного JavaScript-кода, но сейчас он служит отправной точкой для новой преступной схемы. Злоумышленники используют уже скомпрометированные серверы, на которых установлены веб-оболочки, для развертывания GSocket. Основной мишенью становятся серверы, работающие на базе популярной системы управления обучением Moodle.
Для закрепления GSocket в системе злоумышленники вносят изменения в системные файлы bashrc и crontab, обеспечивая его постоянную активность. После установки GSocket используется для доставки PHP-файлов, содержащих HTML-контент, который продвигает индонезийские азартные сайты. Код в этих файлах настроен таким образом, что обычных пользователей перенаправляют на сайт pktoto[.]cc, в то время как поисковые боты могут получить доступ к оригинальному контенту. Это обеспечивает скрытность и маскировку злоумышленных действий от нецелевой аудитории.
Помимо этой скоординированной кампании с использованием Python, команда исследователей c/side выявила отдельную вредоносную операцию под кодовым названием , нацеленную на более чем 5000 сайтов WordPress по всему миру. Этот вредоносный код нацелен на создание неавторизованных администраторских учетных записей, установку вредоносных плагинов и хищение конфиденциальных данных. Связь с вредоносным ПО ведет к домену wp3[.]xyz.
Для защиты от этих угроз владельцам сайтов WordPress рекомендуется обновить плагины, заблокировать домен wp3[.]xyz и провести тщательное сканирование на предмет подозрительных плагинов и учетных записей, удаляя любые обнаруженные вредоносные элементы. Своевременные меры предосторожности и внимательность к происходящему в системах необходимы для предотвращения дальнейшего распространения этих угроз.
