Invasores usam backdoor para manter acesso a site hackeado

Script cria novas contas com status de administrador e dá acesso irrestrito aos hackers banidos do servidor
Igor Shimabukuro25/07/2020 14h42, atualizada em 26/07/2020 10h00

20200725114230

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

O raio parece ter caído duas vezes no mesmo lugar para a plataforma open source de comércio eletrônico Magento. Mesmo após uma “limpeza” no sistema, que bloqueou o acesso de hackers que haviam invadido recentemente o seu servidor, a empresa voltou a sofrer novos ataques cibernéticos. Desta vez, os atacantes utilizaram um backdoor (uma porta de acesso – não autorizada – ao sistema) em um script.

Composto por 92 linhas, o script escondia um backdoor – recurso capaz de realizar comandos não-autorizados em servidores — que enviava uma solicitação de novo usuário ao sistema. Os comandos eram simples como “definir e-mail ” e “definir novo usuário”.

Com isso, uma nova conta com status de administrador era criada. Ou seja, hackers que haviam sido banidos não só conseguiam retomar o acesso ao servidor, mas também ganhavam controles irrestritos ao sistema. O script também dificultava a localização do invasor, uma vez que a nova conta de administrador criada podia ser ocultada da lista de gerenciadores do site.

Krasimir Konov, analista de malware da Sucuri, foi o responsável pela descoberta do script. Segundo ele, apesar de ser uma cópia de códigos vistos em casos mais antigos, o script continua sendo efetivo. “Esses scripts são igualmente eficazes, com poucas modificações necessárias para trabalhar nas versões mais recentes do Magento”, disse Konov.

script01e43f5e5aecdab3.jpg

Segundo Konov, script era similiar a códigos datados de 2012 à 2014. Foto: Unsplash

Preocupação

O analista diz não ter certeza de como os hackers conseguiram instalar o script no servidor já “limpo” recentemente. A suspeita é que a invasão tenha sido feita pela versão Magento 1.9.4.2, caracterizada por apresentar muitas vulnerabilidades.

Konov alerta ainda que se o backdoor não seja removido adequadamente do sistema, os casos voltarão a aparecer e mais invasores terão acessos irrestritos ao servidor.

Via: Ars Technica



Colaboração para o Olhar Digital

Igor Shimabukuro é colaboração para o olhar digital no Olhar Digital