GSocket: как хакеры превращают сервера в рекламные площадки для азартных игр

PHP-приложения GSocket Moodle WordPress азартные игры кибератака
GSocket: как хакеры превращают сервера в рекламные площадки для азартных игр
PHP-приложения GSocket Moodle WordPress азартные игры кибератака

Необычная мошенническая схема была раскрыта исследователями Imperva.

image

Исследователи безопасности выявили новую масштабную кампанию, нацеленную на серверы с PHP-приложениями, для продвижения сайтов азартных игр в Индонезии. По данным компании Imperva, за последние два месяца зарегистрирован значительный объём атак с использованием Python-ботов. Эти действия связывают с ростом количества сайтов азартных игр на фоне усиленного контроля со стороны властей.

Атаки включают использование утилиты GSocket (Global Socket) — открытого инструмента для установления соединений между машинами, несмотря на сетевые ограничения. GSocket ранее применялся в криптоджекинге и для внедрения вредоносных скриптов с целью кражи платёжных данных.

Хакеры использовали уже скомпрометированные серверы, где были установлены веб-шеллы, для внедрения GSocket. Основной целью стали серверы, работающие на платформе Moodle — популярной системе управления обучением (LMS). Для обеспечения работы GSocket даже после удаления веб-шеллов злоумышленники модифицировали системные файлы bashrc и crontab.

Получив доступ к серверам, нападающие внедряли PHP-файлы с HTML-контентом, рекламирующим сайты азартных игр, ориентированные на индонезийскую аудиторию. При этом страницы были настроены так, чтобы открываться только для поисковых роботов, а обычных пользователей перенаправляли на другой домен. Одним из таких сайтов оказался «pktoto[.]cc», известный индонезийский сайт азартных игр.

Компания c/side недавно обнаружила другую глобальную кампанию, затронувшую более 5000 сайтов. Злоумышленники создавали несанкционированные учётные записи администраторов, устанавливали вредоносные плагины и отправляли данные учётных записей на удалённый сервер через домен «wp3[.]xyz». Точный способ начального заражения пока неизвестен, однако кампания получила название WP3.XYZ.

Для защиты от таких атак владельцам сайтов на WordPress рекомендуется обновлять плагины, блокировать подозрительные домены через брандмауэр, проверять наличие подозрительных администраторов или плагинов и незамедлительно удалять их.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!