I ricercatori di Akamai hanno rilevato nuove attività della web shell WSO-NG, una versione avanzata della già nota WSO. La nuova tattica distintiva di WSO-NG è la sua capacità di celarsi dietro una pagina di errore “404-not found” dopo che un utente ha effettuato il login, eludendo così i controlli di sicurezza.
Una web shell è uno script, comunemente scritto in un linguaggio web come PHP, ASP o JSP, che consente il controllo remoto su un server compromesso. Una volta caricata, offre agli aggressori la possibilità di svolgere una serie di attività dannose, tra cui il furto di dati, il monitoraggio dei server e l’avanzamento laterale all’interno della rete.
WSO, acronimo di “web shell by oRb,”, esiste da almeno 14 anni, creata da un utente chiamato “oRb” su un forum di hacking russo. Offre una vasta gamma di funzionalità per hacker, tra cui il furto di dati, il controllo remoto dei server e l’avanzamento laterale nella rete.
WSO-NG è la nuova generazione della web shell che offre una serie di tool di ultima generazione per perpetrare gli attacchi. La novità di WSO-NG è la sua abilità di celare l’interfaccia di accesso dietro una falsa pagina di errore 404 quando gli utenti tentano di accedere alla sua interfaccia di accesso. L’ingegnoso modulo di accesso nascosto utilizza una tecnica CSS per spostarsi fuori dalla vista dell’utente, ottenuta spostandolo di 1.000 pixel a sinistra. Questa manipolazione colloca effettivamente il modulo oltre l’area visibile dello schermo, registrando così silenziosamente le password inserite tramite tastiera.
Dopo aver ottenuto l’accesso, è probabile che gli aggressori utilizzeranno WSO-NG per esplorare l’ambiente compromesso, raccogliendo informazioni sulle minacce e utilizzando tattiche e strumenti simili a quelli delle organizzazioni di difesa informatica.
WSO-NG presenta un’integrazione con VirusTotal, un servizio di threat intelligence, consentendo agli aggressori di verificare se il server compromesso è già noto come sospetto. Ciò fornisce anche informazioni su possibili intrusioni precedenti.
Akamai avverte che WSO-NG è tra le web shell più avanzate e migliori in circolazione, dotata di funzionalità offensive e precauzioni per evitare rilevamenti di sicurezza. Per proteggersi, si consiglia di mantenere aggiornati i sistemi con le ultime patch di sicurezza e di monitorare attentamente le attività sospette per prevenire l’accesso iniziale da parte degli aggressori.
https://www.akamai.com/blog/security-research/defeating-webshells-wso-ng
https://www.securityinfo.it/2023/11/24/wso-ng-la-web-shell-che-si-nasconde-dietro-un-404/