Pesquisadores de cibersegurança alertam para uma nova onda de ataques automatizados de botnets que têm como alvo servidores PHP e dispositivos de Internet das Coisas (IoT). Segundo relatório da Qualys Threat Research Unit (TRU), redes maliciosas como Mirai, Gafgyt e Mozi estão explorando vulnerabilidades conhecidas e falhas de configuração em nuvem para ampliar seu alcance global. As campanhas observadas usam exploração automática de CVEs e scanners em larga escala para identificar sistemas vulneráveis. Assim que encontram um servidor exposto ou um dispositivo IoT desprotegido, os atacantes executam códigos remotos que lhes permitem assumir o controle total do equipamento, adicionando-o à infraestrutura da botnet.
Os servidores PHP tornaram-se os principais alvos por causa da ampla utilização de plataformas como WordPress, Laravel, Craft CMS e ThinkPHP, muitas vezes mantidas com plugins desatualizados, permissões incorretas e ferramentas de desenvolvimento ativas em produção. A pesquisa também identificou casos em que invasores abusaram do Xdebug, ferramenta de depuração usada em ambientes de desenvolvimento PHP. Quando o recurso é deixado habilitado em servidores de produção, pode ser explorado para observar o comportamento de aplicações e extrair dados sensíveis, incluindo credenciais e tokens de sessão.
Além dos ataques a servidores, os criminosos vêm explorando falhas críticas em dispositivos IoT, como Spring Cloud Gateway (CVE-2022-22947) e modelos de DVR vulneráveis da TBK e MVPower, para transformá-los em nós de botnets usados em campanhas de DDoS, phishing e roubo de credenciais. Muitos desses equipamentos continuam conectados à internet com senhas padrão ou firmware obsoleto. Os pesquisadores notaram que a maioria das varreduras parte de infraestruturas legítimas de nuvem, incluindo AWS, Google Cloud, Azure e Digital Ocean. O uso dessas plataformas dificulta a identificação da origem real dos ataques e permite que operadores ocultem sua atividade entre fluxos de tráfego comum.
