Ssylka

Киберпаутина азарта: злоумышленники разворачивают сеть фишинга с помощью Python-ботов и уязвимостей

В последние два месяца наблюдается резкий всплеск скоординированной кибератаки, нацеленной на продвижение азартных игр в Индонезии. Злоумышленники используют Python-ботов для эксплуатации уязвимостей PHP-приложений на веб-серверах, разворачивая целую сеть для перенаправления пользователей на игорные платформы.
Киберпаутина азарта: злоумышленники разворачивают сеть фишинга с помощью Python-ботов и уязвимостей
Изображение носит иллюстративный характер

Исследователи из компании Imperva, принадлежащей Thales, установили, что миллионы запросов от Python-ботов направлены на установку GSocket (Global Socket) – инструмента для установления коммуникационных каналов между машинами. Ранее GSocket уже применялся для криптоджекинга и внедрения вредоносного JavaScript-кода, но сейчас он служит отправной точкой для новой преступной схемы. Злоумышленники используют уже скомпрометированные серверы, на которых установлены веб-оболочки, для развертывания GSocket. Основной мишенью становятся серверы, работающие на базе популярной системы управления обучением Moodle.

Для закрепления GSocket в системе злоумышленники вносят изменения в системные файлы bashrc и crontab, обеспечивая его постоянную активность. После установки GSocket используется для доставки PHP-файлов, содержащих HTML-контент, который продвигает индонезийские азартные сайты. Код в этих файлах настроен таким образом, что обычных пользователей перенаправляют на сайт pktoto[.]cc, в то время как поисковые боты могут получить доступ к оригинальному контенту. Это обеспечивает скрытность и маскировку злоумышленных действий от нецелевой аудитории.

Помимо этой скоординированной кампании с использованием Python, команда исследователей c/side выявила отдельную вредоносную операцию под кодовым названием , нацеленную на более чем 5000 сайтов WordPress по всему миру. Этот вредоносный код нацелен на создание неавторизованных администраторских учетных записей, установку вредоносных плагинов и хищение конфиденциальных данных. Связь с вредоносным ПО ведет к домену wp3[.]xyz.

Для защиты от этих угроз владельцам сайтов WordPress рекомендуется обновить плагины, заблокировать домен wp3[.]xyz и провести тщательное сканирование на предмет подозрительных плагинов и учетных записей, удаляя любые обнаруженные вредоносные элементы. Своевременные меры предосторожности и внимательность к происходящему в системах необходимы для предотвращения дальнейшего распространения этих угроз.


Новое на сайте

15310 15309Кэти перри и женский полёт на ракету Blue Origin вызвали бурю мнений 15308Как искусство помогает помнить о оккупации Гуэрнси? 15307Как лесные пожары в амазонии влияют на таяние антарктического льда? 15306Как пережить вдовство в 24 года: история Тании Помрой и сила TikTok 15305Может ли вселенная вращаться раз в 500 миллиардов лет? 15304Уязвимость в маршрутизаторах ASUS AiCloud: обновления прошивки обязательны 15303Жизнь с нарциссическим расстройством: взгляд изнутри 15302Почему лауреат Bafta прячет свою награду от маленькой дочери? 15301Как новое световое оформление изменит интерьер церкви? 15300Вирусный успех Vicky Ball — почему она не бросает работу преподавателя? 15299Темная галактика у млечного пути: открытие загадочного газового объекта 15298Новый цвет: "оло" и его открытие 15297Как музыкальная безопасность завоевывает молодежь: новый альбом CPSC 15296Влияние соцсетей и инфлюенсеров усиливает женоненавистничество в школах