Pesquisadores de cibersegurança revelaram uma campanha que utiliza bots baseados em Python para atacar servidores PHP e promover plataformas de jogos de azar na Indonésia. Segundo Daniel Johnston, da Imperva, esses ataques, observados nos últimos dois meses, parecem ser uma resposta ao aumento da fiscalização governamental sobre sites de apostas. Milhões de requisições de bots foram detectadas, incluindo comandos para instalar o GSocket, uma ferramenta de código aberto que cria canais de comunicação entre máquinas, mesmo em redes restritas.

O GSocket tem sido usado recentemente em operações de cryptojacking e também para inserir códigos maliciosos em sites, roubando informações de pagamento. Os ataques se concentram em servidores que já possuem vulnerabilidades, como web shells, especialmente em sistemas como o Moodle, uma plataforma de gestão de aprendizado popular.

Uma tática identificada é a modificação de arquivos de sistema, como bashrc e crontab, para manter o GSocket em funcionamento mesmo após a remoção das brechas iniciais. A partir desse acesso, os atacantes inserem arquivos PHP com HTML voltado para promover serviços de jogos de azar online. As páginas são configuradas para que apenas bots de busca possam acessá-las, enquanto usuários comuns são redirecionados a domínios como “pktoto[.]cc”, um conhecido site de apostas indonésio.

Paralelamente, outra campanha de malware global, batizada de WP3.XYZ, comprometeu mais de 5.000 sites para criar contas de administrador falsas, instalar plug-ins maliciosos e roubar credenciais. Embora o vetor inicial do ataque não esteja claro, o malware opera por meio do domínio “wp3[.]xyz”, que busca plug-ins maliciosos e exfiltra dados. Para mitigar esses riscos, recomenda-se que administradores de sites WordPress atualizem seus plug-ins, utilizem firewalls para bloquear domínios suspeitos, revisem contas de administrador e removam qualquer componente malicioso detectado.