Invasores usam backdoor para manter acesso a site hackeado

Script cria novas contas com status de administrador e dá acesso irrestrito aos hackers banidos do servidor

Da Redação, editado por Liliane Nakagawa 26/07/2020 07h00
hacker
A A A

O raio parece ter caído duas vezes no mesmo lugar para a plataforma open source de comércio eletrônico Magento. Mesmo após uma "limpeza" no sistema, que bloqueou o acesso de hackers que haviam invadido recentemente o seu servidor, a empresa voltou a sofrer novos ataques cibernéticos. Desta vez, os atacantes utilizaram um backdoor (uma porta de acesso - não autorizada - ao sistema) em um script. 


Composto por 92 linhas, o script escondia um backdoor - recurso capaz de realizar comandos não-autorizados em servidores — que enviava uma solicitação de novo usuário ao sistema. Os comandos eram simples como "definir e-mail " e "definir novo usuário".

Com isso, uma nova conta com status de administrador era criada. Ou seja, hackers que haviam sido banidos não só conseguiam retomar o acesso ao servidor, mas também ganhavam controles irrestritos ao sistema. O script também dificultava a localização do invasor, uma vez que a nova conta de administrador criada podia ser ocultada da lista de gerenciadores do site.

Krasimir Konov, analista de malware da Sucuri, foi o responsável pela descoberta do script. Segundo ele, apesar de ser uma cópia de códigos vistos em casos mais antigos, o script continua sendo efetivo. "Esses scripts são igualmente eficazes, com poucas modificações necessárias para trabalhar nas versões mais recentes do Magento”, disse Konov.


script01e43f5e5aecdab3.jpg

Segundo Konov, script era similiar a códigos datados de 2012 à 2014. Foto: Unsplash

 

Preocupação

O analista diz não ter certeza de como os hackers conseguiram instalar o script no servidor já "limpo" recentemente. A suspeita é que a invasão tenha sido feita pela versão Magento 1.9.4.2, caracterizada por apresentar muitas vulnerabilidades.

Konov alerta ainda que se o backdoor não seja removido adequadamente do sistema, os casos voltarão a aparecer e mais invasores terão acessos irrestritos ao servidor.

 


Via: Ars Technica



Hackers ciberataque Ataque virtual ataque cibernético
Compras na Internet? Para aproveitar as melhores ofertas, baixe a nova extensão do Olhar Digital. Além da garantia do melhor preço, você ainda ganha descontos em várias lojas. Clique aqui para instalar.

Recomendados pra você