MÜNCHEN (IT BOLTWISE) – Eine neue Cyberkampagne zielt auf PHP-Server ab, um Glücksspielplattformen in Indonesien zu fördern.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
In den letzten Monaten haben Sicherheitsforscher eine koordinierte Angriffswelle aufgedeckt, die sich gegen Webserver richtet, die PHP-basierte Anwendungen ausführen. Diese Angriffe, die von Python-Bots ausgehen, scheinen darauf abzuzielen, die Verbreitung von Glücksspielseiten in Indonesien zu fördern. Laut Experten könnte dies eine Reaktion auf die verstärkte Überwachung durch die Regierung sein. Die Angriffe nutzen ein Open-Source-Tool namens GSocket, um Kommunikationskanäle zwischen Maschinen zu etablieren, unabhängig von deren Netzwerkumgebung. GSocket wurde in letzter Zeit häufig in Kryptojacking-Operationen eingesetzt, wobei es auch genutzt wird, um bösartigen JavaScript-Code auf Websites einzuschleusen, um Zahlungsinformationen zu stehlen. Die Angreifer versuchen, GSocket über bereits kompromittierte Webshells auf den Servern zu installieren. Besonders betroffen sind Server, die das beliebte Lernmanagementsystem Moodle betreiben. Ein bemerkenswerter Aspekt der Angriffe ist die Manipulation von Systemdateien wie bashrc und crontab, um sicherzustellen, dass GSocket auch nach der Entfernung der Webshells aktiv bleibt. Die durch GSocket erlangte Zugriffsberechtigung wird genutzt, um PHP-Dateien zu platzieren, die HTML-Inhalte enthalten, die auf Online-Glücksspieldienste für indonesische Nutzer verweisen. Diese PHP-Dateien sind so programmiert, dass sie nur von Suchmaschinen-Bots aufgerufen werden können, während normale Besucher auf eine andere Domain umgeleitet werden. Ziel ist es, Nutzer, die nach bekannten Glücksspielangeboten suchen, auf eine andere Domain zu leiten. Die Umleitungen führen zu ‘pktoto[.]cc’, einer bekannten indonesischen Glücksspielseite. Parallel dazu wurde eine weitreichende Malware-Kampagne aufgedeckt, die über 5.000 Websites weltweit ins Visier genommen hat, um unautorisierte Administratoren-Konten zu erstellen, ein bösartiges Plugin von einem Remote-Server zu installieren und Anmeldedaten zurückzusenden. Der genaue Vektor für den initialen Zugriff auf diese Websites ist derzeit unbekannt. Die Malware trägt den Codenamen WP3.XYZ, benannt nach der Domain, die mit dem Server in Verbindung steht, der das Plugin abruft und Daten exfiltriert. Um sich gegen diese Angriffe zu schützen, wird empfohlen, dass WordPress-Seitenbetreiber ihre Plugins aktuell halten, die bösartige Domain mit einer Firewall blockieren, nach verdächtigen Admin-Konten oder Plugins suchen und diese entfernen.
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Python-Bots nutzen PHP-Server für Glücksspielseiten in Indonesien".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Python-Bots nutzen PHP-Server für Glücksspielseiten in Indonesien" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Python-Bots nutzen PHP-Server für Glücksspielseiten in Indonesien" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.