El grupo de piratas informáticos, DarkCrewFriends, ha resurgido y está atacando los sistemas de gestión de contenidos para construir una red de bots. La red de robots puede ponerse en servicio para llevar a cabo diversas actividades delictivas, como ataques de denegación de servicio distribuido (DDoS), ejecución de comandos, exfiltración de información o sabotaje de un sistema infectado.
Los investigadores dijeron que observaron que DarkCrewFriends explotaba una vulnerabilidad de carga de archivos sin restricciones para poner en peligro los servidores PHP que ejecutan sitios web. Después del compromiso, se instala un shell web PHP malicioso como puerta trasera, que a su vez establece una conexión con un servidor de comando y control (C2) utilizando un canal de Internet Relay Chat (IRC), según los investigadores de Check Point Liron Yosefian y Ori Hamama.
“Muchas aplicaciones permiten a los usuarios subir ciertos archivos a sus servidores, como imágenes o documentos”, explicaron los investigadores el jueves en una entrada de blog. “Estos archivos pueden poner en riesgo el sistema si no se manejan adecuadamente. Un atacante remoto puede enviar una solicitud especialmente elaborada a un servidor vulnerable y subir un archivo sin restricciones, pasando por alto la verificación de la extensión del archivo del servidor. Esto puede eventualmente resultar en la ejecución de código arbitrario en el sistema afectado”.
Según los analistas, los atacantes crean una red de botnets utilizando el protocolo IRC para infectar los servidores conectados. Esto les proporciona una herramienta de ataque más poderosa y también se utiliza en los servicios de tráfico que ofrecen a la venta.
Fuente: https://www.ciberseguridadlatam.com/
0 Comentarios