Hackers estão explorando uma grave vulnerabilidade no PHP para distribuir criptomineradores XMRig e o trojan de acesso remoto Quasar RAT, comprometendo servidores Windows que executam PHP no modo CGI. A falha, identificada como CVE-2024-4577, permite que invasores injetem argumentos maliciosos e executem código remotamente, abrindo caminho para ataques avançados. Segundo a empresa de segurança cibernética Bitdefender, houve um aumento significativo nos ataques explorando essa vulnerabilidade desde o final de 2024.

As tentativas de exploração estão concentradas principalmente em Taiwan (54,65%), Hong Kong (27,06%), Brasil (16,39%), Japão (1,57%) e Índia (0,33%). Cerca de 15% dessas tentativas envolvem comandos básicos de verificação, como “whoami” e “echo <test_string>”, enquanto outros 15% são usados para reconhecimento do sistema, incluindo listagem de processos, descoberta de redes e coleta de metadados. Os pesquisadores também identificaram que aproximadamente 5% dos ataques resultaram na implantação do minerador XMRig, usado para mineração não autorizada de criptomoedas.

Outro aspecto preocupante dos ataques é o uso da falha para implantar o Quasar RAT, uma ferramenta de acesso remoto de código aberto que permite o controle total dos dispositivos comprometidos. Além disso, os criminosos estão utilizando arquivos MSI maliciosos hospedados em servidores remotos para executar comandos perigosos diretamente no sistema. Curiosamente, a Bitdefender também observou casos em que os próprios atacantes modificaram configurações de firewall nos servidores invadidos, bloqueando IPs maliciosos associados à mesma vulnerabilidade.