Pesquisadores de segurança estão alertando sobre uma nova estratégia adotada por hackers: o uso de cookies HTTP como canal de comando para web shells em servidores Linux. A descoberta foi detalhada pelo Microsoft Defender Security Research Team, que observou um aumento significativo de ataques voltados à execução remota de código com alto grau de sigilo.
Ao contrário dos métodos tradicionais, que utilizam parâmetros de URL ou corpo de requisições HTTP para disparar comandos, essa abordagem se vale de valores específicos de cookies para ativar funções maliciosas. Com isso, o código permanece inativo durante operações normais, sendo acionado somente quando o invasor envia uma requisição preparada cuidadosamente.
O ataque explora diretamente a variável global $_COOKIE do PHP, processando os dados enviados sem necessidade de análise adicional. Como os cookies fazem parte do tráfego legítimo de websites, a detecção por ferramentas de segurança torna-se muito mais complexa.
As implementações observadas apresentam diferentes níveis de sofisticação. Em alguns casos, hackers utilizam loaders altamente ofuscados que interpretam informações estruturadas nos cookies para executar cargas maliciosas. Em outros, scripts fragmentam os dados recebidos para reconstruir funções internas, permitindo manipulação de arquivos, decodificação de conteúdo, execução de comandos e implantação de novos artefatos no sistema.
Outro ponto crítico é o uso de tarefas agendadas (cron jobs) para manter a persistência. Após o acesso inicial — seja por credenciais comprometidas ou exploração de vulnerabilidades conhecidas —, os invasores configuram rotinas automatizadas que reinstalam continuamente o web shell, garantindo que o código malicioso retorne mesmo após tentativas de remoção.
Essa separação entre persistência (via cron) e execução (via cookies) diminui drasticamente os rastros nos logs, tornando o ataque mais silencioso. Basicamente, os hackers utilizam apenas funções legítimas do sistema, como processos de servidores web e tarefas agendadas, para manter o controle do ambiente comprometido.
Especialistas alertam que esse tipo de invasão não depende de cadeias complexas de exploração, mas do abuso de funcionalidades já existentes na infraestrutura. Isso evidencia uma tendência: ataques tecnicamente simples, porém extremamente eficientes em furtividade e persistência.
Para reduzir os riscos, é recomendada a implementação de autenticação multifator para acessos administrativos e SSH, monitoramento constante de atividades suspeitas, auditoria de tarefas agendadas e restrições na execução de interpretadores de shell. Além disso, é crucial inspecionar arquivos suspeitos em diretórios web e limitar permissões em painéis de controle de hospedagem.
O cenário demonstra uma mudança estratégica no comportamento dos hackers: ao transferir o controle para elementos comuns do tráfego web, como cookies, eles conseguem operar praticamente invisíveis em ambientes comprometidos.
