De acordo com descobertas da **Microsoft Defender Security Research Team**, atores de ameaças estão explorando cookies HTTP para controlar web shells baseadas em **PHP** em servidores **Linux**. Isso permite que eles alcancem a execução remota de código de forma mais discreta. "Em vez de expor a execução de comandos através de parâmetros de URL ou corpos de requisição, essas web shells dependem de valores de cookie fornecidos pelo ator de ameaça para controlar a execução, passar instruções e ativar funcionalidades maliciosas", afirmou a **Microsoft**. ### A Vantagem da Discrição Essa abordagem oferece maior discrição porque o código malicioso permanece inativo durante a execução normal da aplicação. A lógica da web shell só é ativada quando valores específicos de cookie estão presentes. Esse comportamento se estende a requisições web, tarefas agendadas e workers de background confiáveis. A atividade maliciosa aproveita o fato de que os valores de cookie estão prontamente disponíveis em tempo de execução através da variável superglobal `$_COOKIE` em **PHP**. Isso permite que as entradas fornecidas pelo atacante sejam consumidas sem processamento adicional. Além disso, a técnica dificilmente levantará suspeitas, pois os cookies se misturam ao tráfego web normal, reduzindo a visibilidade. ### Variações de Implementação O modelo de execução controlado por cookies apresenta diferentes implementações: * Um loader **PHP** que utiliza múltiplas camadas de ofuscação e verificações em tempo de execução antes de processar a entrada de cookie estruturada para executar um payload secundário codificado. * Um script **PHP** que segmenta dados de cookie estruturados para reconstruir componentes operacionais, como funções de manipulação de arquivos e decodificação, e condicionalmente escreve um payload secundário em disco e o executa. * Um script **PHP** que utiliza um único valor de cookie como um marcador para acionar ações controladas pelo ator de ameaça, incluindo a execução de entrada fornecida e upload de arquivos. ### Acesso Inicial e Persistência Em pelo menos um caso, atores de ameaças obtiveram acesso inicial ao ambiente **Linux** hospedado de uma vítima através de credenciais válidas ou da exploração de uma vulnerabilidade de segurança conhecida. Esse acesso foi usado para configurar um job cron que invoca periodicamente uma rotina de shell para executar um loader **PHP** ofuscado.  Essa arquitetura de "auto-cura" permite que o loader **PHP** seja recriado repetidamente pela tarefa agendada, mesmo que seja removido durante esforços de limpeza. Isso cria um canal de execução remota de código confiável e persistente. Uma vez implantado, o loader **PHP** permanece inativo durante o tráfego normal e só é ativado ao receber requisições HTTP com valores de cookie específicos. "Ao transferir o controle de execução para os cookies, a web shell pode permanecer oculta no tráfego normal, ativando apenas durante interações deliberadas", acrescentou a **Microsoft**. "Ao separar a persistência através da recriação baseada em cron do controle de execução através da ativação controlada por cookies, o ator de ameaça reduziu o ruído operacional e limitou os indicadores observáveis nos logs de aplicação rotineiros." Um aspecto comum em todas as implementações é o uso de ofuscação para ocultar funcionalidades sensíveis e o controle baseado em cookies para iniciar a ação maliciosa, minimizando a pegada interativa. ### Estratégias de Mitigação Para combater essa ameaça, a **Microsoft** recomenda: * Impor autenticação multifator para painéis de controle de hospedagem, acesso SSH e interfaces administrativas. * Monitorar atividades de login incomuns. * Restringir a execução de interpretadores de shell. * Auditar jobs cron e tarefas agendadas em servidores web. * Verificar a criação de arquivos suspeitos em diretórios web. * Limitar as capacidades de shell dos painéis de controle de hospedagem. "O uso consistente de cookies como mecanismo de controle sugere a reutilização de táticas estabelecidas de web shell", disse a **Microsoft**. "Ao transferir a lógica de controle para os cookies, os atores de ameaças permitem acesso persistente pós-comprometimento que pode evadir muitos controles tradicionais de inspeção e registro." "Em vez de depender de cadeias de exploit complexas, o ator de ameaça utilizou caminhos de execução legítimos já presentes no ambiente, incluindo processos de servidor web, componentes de painel de controle e infraestrutura cron, para preparar e preservar código malicioso."