Uma falha de segurança de extrema gravidade está a afetar ativamente servidores cPanel e WebHost Manager (WHM) em todo o mundo. Identificada como CVE-2026-41940 e com a pontuação máxima de severidade de 9.8, esta vulnerabilidade permite que atacantes remotos assumam o controlo total do servidor com privilégios de administrador, sem necessitarem de qualquer autenticação prévia.
Segundo avançou o Cyber Security News, cibercriminosos estão a explorar agressivamente esta falha zero-day para disseminar ransomware, mineradores de criptomoedas e instalar backdoors profundos em ambientes Linux. Desde a sua divulgação pública, no final de abril de 2026, as plataformas de inteligência de ameaças registaram um aumento massivo de ataques automatizados. Mais de 2000 endereços IP únicos, com origem principal nos Estados Unidos, Alemanha, Brasil e Países Baixos, encontram-se ativamente a rastrear e a explorar sistemas vulneráveis.
Para demonstrar a gravidade da situação, investigadores da Ctrl-Alt-Intel revelaram que a vulnerabilidade foi usada para invadir redes governamentais e militares no Sudeste Asiático, resultando no roubo de quase 4,37 GB de ficheiros sensíveis datados entre 2020 e 2024.
O Perigo do Coletivo "Mr_Rot13"
Especialistas da XLab atribuem esta campanha contínua e altamente sofisticada a um grupo de hackers conhecido internamente como "Mr_Rot13". No ativo desde pelo menos 2020, o coletivo tem um histórico de implementação de backdoors em PHP capazes de passar totalmente despercebidos pelas principais plataformas de antivírus. O grupo ganhou este nome por utilizar frequentemente o algoritmo Rot13 para ocultar a sua infraestrutura de Comando e Controlo (C2) dentro de código JavaScript injetado.
As investigações mais recentes apontam para uma operação altamente organizada. O grupo utiliza malware personalizado e reage de forma dinâmica quando os investigadores de segurança analisam a sua infraestrutura, alterando frequentemente os tokens dos seus bots de Telegram e atualizando o código malicioso para evitar a deteção.
Como Funciona o Processo de Infeção
O ataque arranca com a exploração da falha CVE-2026-41940 para contornar a autenticação, garantindo acesso imediato de administrador. A partir daí, os atacantes implementam uma ferramenta de injeção baseada em Go chamada "Payload". De acordo com a XLab, a estrutura do código e o estilo dos registos desta ferramenta parecem ter sido gerados por inteligência artificial.
Assim que é executado, o injetor altera a palavra-passe de raiz (root) do servidor e insere chaves públicas SSH maliciosas para garantir um acesso permanente. De seguida, o malware instala uma webshell em PHP personalizada ("Cpanel-Python") e injeta JavaScript malicioso nas páginas de início de sessão do servidor. Este script rouba ativamente credenciais de utilizadores, strings de User-Agent e URLs, enviando os dados para o servidor C2 remoto através de um pedido AJAX.
Na fase final da invasão, os criminosos instalam o "Filemanager", um poderoso Trojan de controlo remoto multiplataforma compatível com Linux, Windows e Darwin. Esta ameaça permite que os atacantes acedam a uma consola web para executar comandos remotos e gerir ficheiros. As configurações roubadas e as credenciais das bases de dados são depois extraídas através de dois canais distintos: para os domínios web do grupo e para um bot dedicado no Telegram.
Nenhum comentário
Seja o primeiro!