Investigadores de ciberseguridad han detectado una nueva campaña que utiliza bots basados en Python para atacar servidores que ejecutan aplicaciones PHP, promoviendo plataformas de juego en línea dirigidas a usuarios en Indonesia. Según un análisis de Daniel Johnston, investigador de Imperva, estos ataques han crecido significativamente en los últimos meses, probablemente como una respuesta al aumento del escrutinio gubernamental hacia este tipo de plataformas.
Ataques Dirigidos y Herramientas Utilizadas
Los bots instalan GSocket, una herramienta de código abierto para crear canales de comunicación seguros, que ha sido previamente utilizada en operaciones de cryptojacking. En esta campaña, GSocket se implementa mediante shells web preexistentes en servidores comprometidos, con un enfoque particular en plataformas que usan Moodle, un popular sistema de gestión de aprendizaje.
Una vez comprometidos, los servidores reciben archivos PHP modificados que contienen contenido HTML diseñado para redirigir a usuarios a sitios de juego. Los visitantes regulares son redirigidos a dominios como «pktoto[.]cc», mientras que solo los bots de búsqueda tienen acceso a las páginas maliciosas.
Riesgos y Recomendaciones
Además de promover plataformas de juego, los ataques también buscan persistencia en los servidores mediante la modificación de archivos del sistema, como bashrc y crontab, garantizando que GSocket permanezca activo incluso tras la eliminación de los shells web.
Se han observado tácticas similares en una campaña separada de malware denominada WP3.XYZ, que apunta a sitios web de WordPress para crear cuentas de administrador no autorizadas y desviar datos de credenciales.
Para protegerse, los administradores de sitios web deben:
- Mantener sus aplicaciones y complementos actualizados.
- Implementar un firewall para bloquear dominios sospechosos como «wp3[.]xyz».
- Revisar y eliminar cuentas de administrador no autorizadas y complementos maliciosos.
Conclusión
Estos ataques resaltan cómo los ciberdelincuentes aprovechan vulnerabilidades en aplicaciones web para fines específicos, como la promoción de plataformas de juego. Las organizaciones deben reforzar su seguridad para prevenir este tipo de incidentes, priorizando la detección y eliminación de amenazas antes de que comprometan sus sistemas.
