Cybersecurity-onderzoekers hebben een nieuwe campagne gelanceerd die zich richt op webservers waarop PHP-gebaseerde applicaties draaien om gokplatforms in Indonesië te promoten.
“De afgelopen twee maanden is een aanzienlijk aantal aanvallen van op Python gebaseerde bots waargenomen, wat duidt op een gecoördineerde inspanning om duizenden webapps te exploiteren”, zei Imperva-onderzoeker Daniel Johnston in een analyse. “Deze aanvallen lijken verband te houden met de verspreiding van gokgerelateerde sites, mogelijk als reactie op het verscherpte toezicht van de overheid.”
Het bedrijf dat eigendom is van Thales zei dat het miljoenen verzoeken heeft gedetecteerd die afkomstig zijn van een Python-client die een opdracht bevat om GSocket (ook bekend als Global Socket) te installeren, een open source-tool die kan worden gebruikt om een communicatiekanaal tussen twee machines tot stand te brengen, ongeacht de netwerkomtrek.
Het is vermeldenswaard dat GSocket de afgelopen maanden bij veel cryptojacking-operaties is gebruikt, om nog maar te zwijgen van het misbruiken van de toegang die het hulpprogramma biedt om kwaadaardige JavaScript-code op sites in te voegen om betalingsinformatie te stelen.
De aanvalsketens omvatten met name pogingen om GSocket in te zetten door gebruik te maken van reeds bestaande webshells die op reeds gecompromitteerde servers zijn geïnstalleerd. Het merendeel van de aanvallen bleek zich te richten op servers waarop een populair leerbeheersysteem (LMS) draait, genaamd Moodle.
Een opmerkelijk aspect van de aanvallen zijn de toevoegingen aan bashrc- en crontab-systeembestanden om ervoor te zorgen dat GSocket actief blijft, zelfs nadat de webshells zijn verwijderd.
Er is vastgesteld dat de toegang die GSocket tot deze doelservers biedt, is bewapend om PHP-bestanden te leveren die HTML-inhoud bevatten die verwijst naar online gokdiensten, vooral gericht op Indonesische gebruikers.
“Bovenaan elk PHP-bestand stond PHP-code die was ontworpen om alleen zoekbots toegang te geven tot de pagina, maar reguliere sitebezoekers zouden worden omgeleid naar een ander domein”, aldus Johnston. “Het doel hierachter is om gebruikers te targeten die zoeken naar bekende gokdiensten en ze vervolgens om te leiden naar een ander domein.”
Imperva zei dat de omleidingen leiden naar “pktoto(.)cc”, een bekende Indonesische goksite.
De ontwikkeling komt op het moment dat c/side een wijdverspreide malwarecampagne aan het licht bracht die zich op meer dan 5.000 sites wereldwijd heeft gericht om ongeautoriseerde beheerdersaccounts aan te maken, een kwaadaardige plug-in vanaf een externe server te installeren en inloggegevens terug te hevelen.
De exacte initiële toegangsvector die wordt gebruikt om de JavaScript-malware op deze sites te implementeren, is momenteel niet bekend. De malware heeft de codenaam WP3.XYZ gekregen, verwijzend naar de domeinnaam die is gekoppeld aan de server die wordt gebruikt om de plug-in op te halen en gegevens te exfiltreren (“wp3(.)xyz”).
Om de aanval te beperken, wordt aanbevolen dat eigenaren van WordPress-sites hun plug-ins up-to-date houden, het frauduleuze domein blokkeren met een firewall, scannen op verdachte beheerdersaccounts of plug-ins en deze verwijderen.
