
Peneliti keamanan siber telah mengungkap kampanye baru yang menargetkan server web yang menjalankan aplikasi berbasis PHP untuk mempromosikan platform perjudian di Indonesia.
“Selama dua bulan terakhir, sejumlah besar serangan dari bot berbasis Python telah diamati, menunjukkan adanya upaya terkoordinasi untuk mengeksploitasi ribuan aplikasi web,” kata peneliti Imperva Daniel Johnston dalam sebuah analisis. “Serangan-serangan ini tampaknya terkait dengan proliferasi situs-situs terkait perjudian, yang berpotensi sebagai respons terhadap pengawasan ketat pemerintah.”
Perusahaan milik Thales mengatakan telah mendeteksi jutaan permintaan yang berasal dari klien Python yang mencakup perintah untuk menginstal GSocket (alias Global Socket), sebuah alat sumber terbuka yang dapat digunakan untuk membangun saluran komunikasi antara dua mesin terlepas dari mesinnya. perimeter jaringan.

Perlu dicatat bahwa GSocket telah digunakan dalam banyak operasi cryptojacking dalam beberapa bulan terakhir, belum lagi mengeksploitasi akses yang disediakan oleh utilitas untuk memasukkan kode JavaScript berbahaya di situs untuk mencuri informasi pembayaran.
Rantai serangan khususnya melibatkan upaya untuk menerapkan GSocket dengan memanfaatkan shell web yang sudah ada sebelumnya yang diinstal pada server yang sudah disusupi. Mayoritas serangan ditemukan hanya menyerang server yang menjalankan sistem manajemen pembelajaran (LMS) populer yang disebut Moodle.
Aspek penting dari serangan ini adalah penambahan file sistem bashrc dan crontab untuk memastikan bahwa GSocket tetap berjalan secara aktif bahkan setelah shell web dihapus.

Telah ditentukan bahwa akses yang diberikan oleh GSocket ke server target ini digunakan untuk mengirimkan file PHP yang berisi konten HTML yang merujuk pada layanan perjudian online yang ditujukan khusus untuk pengguna Indonesia.
“Di bagian atas setiap file PHP terdapat kode PHP yang dirancang untuk memungkinkan hanya bot pencarian yang mengakses halaman tersebut, namun pengunjung situs biasa akan dialihkan ke domain lain,” kata Johnston. “Tujuan di balik ini adalah untuk menargetkan pengguna yang mencari layanan perjudian terkenal, lalu mengarahkan mereka ke domain lain.”
Imperva mengatakan pengalihan tersebut mengarah ke “pktoto[.]cc,” sebuah situs judi ternama Indonesia.

Perkembangan ini terjadi ketika c/side mengungkapkan kampanye malware yang tersebar luas yang menargetkan lebih dari 5.000 situs secara global untuk membuat akun administrator tidak sah, menginstal plugin berbahaya dari server jarak jauh, dan menyedot data kredensial kembali ke server tersebut.
Vektor akses awal yang tepat yang digunakan untuk menyebarkan malware JavaScript di situs-situs tersebut saat ini tidak diketahui. Malware tersebut diberi nama kode WP3.XYZ mengacu pada nama domain yang terkait dengan server yang digunakan untuk mengambil plugin dan mengekstrak data (“wp3[.]xyz”).
Untuk memitigasi serangan tersebut, disarankan agar pemilik situs WordPress selalu memperbarui pluginnya, memblokir domain jahat menggunakan firewall, memindai akun admin atau plugin yang mencurigakan, dan menghapusnya.