Gli esperti di cybersecurity hanno recentemente scoperto una campagna che prende di mira i server web che eseguono applicazioni basate su PHP per promuovere piattaforme di gioco d'azzardo in Indonesia. Negli ultimi due mesi, un notevole volume di attacchi provenienti da bot basati su Python è stato osservato, suggerendo un'operazione coordinata per sfruttare migliaia di applicazioni web. Questi attacchi sembrano essere legati alla proliferazione di siti correlati al gioco d'azzardo, probabilmente in risposta all'aumento del controllo governativo.

La scoperta di Thales

La società Thales ha rilevato milioni di richieste provenienti da un client Python che include un comando per installare GSocket, uno strumento open-source utilizzato per stabilire un canale di comunicazione tra due macchine, indipendentemente dal perimetro di rete. GSocket è stato utilizzato in numerose operazioni di cryptojacking negli ultimi mesi, sfruttando l'accesso fornito dall'utilità per inserire codice JavaScript dannoso sui siti per rubare informazioni di pagamento.

Dettagli degli attacchi

La catena di attacchi coinvolge tentativi di distribuire GSocket sfruttando shell web preesistenti installate su server già compromessi. La maggior parte degli attacchi ha preso di mira server che eseguono un sistema di gestione dell'apprendimento popolare chiamato Moodle. Un aspetto degno di nota degli attacchi sono le aggiunte ai file di sistema bashrc e crontab per garantire che GSocket sia in esecuzione attivamente anche dopo la rimozione delle shell web.

Obiettivo degli attacchi

È stato determinato che l'accesso fornito da GSocket a questi server target viene utilizzato per distribuire file PHP contenenti contenuti HTML che fanno riferimento a servizi di gioco d'azzardo online, particolarmente mirati agli utenti indonesiani. In cima a ciascun file PHP era presente un codice progettato per consentire solo ai bot di ricerca di accedere alla pagina, mentre i visitatori regolari del sito venivano reindirizzati a un altro dominio. L'obiettivo è quello di prendere di mira gli utenti che cercano servizi di gioco d'azzardo noti, per poi reindirizzarli a un altro dominio.

Reindirizzamenti e conseguenze

Imperva ha dichiarato che i reindirizzamenti portano a un sito di gioco d'azzardo indonesiano noto. Lo sviluppo arriva mentre c/side ha rivelato una campagna malware diffusa che ha preso di mira oltre 5.000 siti a livello globale per creare account amministratore non autorizzati, installare un plugin dannoso da un server remoto e sottrarre dati di credenziali.

Raccomandazioni

Per mitigare l'attacco, si raccomanda ai proprietari di siti WordPress di mantenere aggiornati i loro plugin, bloccare il dominio canaglia utilizzando un firewall, cercare account amministrativi o plugin sospetti e rimuoverli.