Nos servidores Linux que hospedam aplicativos PHP está surgindo uma prática inquietante: os atacantes estão empregando cookies HTTP como um canal de controle para ativar a web shells e executar código remoto. Em vez de enviar comandos em parâmetros URL ou corpos de petição - canais mais visíveis e fáceis de auditar - os atores maliciosos escondem as instruções dentro de valores de cookie que o código PHP consome em tempo de execução através da variável superglobal $_COOKIE. Isso torna a interação maliciosa em algo que passa despercebido entre o tráfego normal do site.
O valor desta técnica reside em seu critério. Um cookie faz parte da carga habitual de pedidos HTTP e, salvo se inspeccionem expressamente os cabeçalhos de cookie, muitas soluções de monitoramento não a consideram um vetor primário de comandos. Os web shells controlados por cookies permanecem inativos durante o uso cotidiano da aplicação e só acordam quando recebem uma combinação concreta de valores de cookie fornecidos pelo atacante, o que reduz a impressão observável nos registros e ruído operacional.
Existem várias maneiras de implementar este modelo de execução. Alguns atacantes colocam um carregador PHP ofuscado que realiza várias verificações em tempo de execução e, se os cookies cumprirem uma estrutura esperada, descodificar e executar uma carga útil secundária. Em outras variantes, o script recebe fragmentos estruturados em diferentes campos de cookie que depois são montados para compor funções operacionais: manejo de arquivos, descodificação e, em alguns casos, voltado do código malicioso ao disco para sua execução. Também há versões mais simples onde um único cookie atua como detonante: quando seu valor coincide com o esperado, o servidor executa comandos enviados pelo ator.
A persistência amplifica o problema. Em vários incidentes os atacantes conseguiram acesso inicial a ambientes de hospedagem Linux através de credenciais legítimas roubadas ou através da exploração de vulnerabilidades conhecidas. Com esse acesso instalam tarefas programadas (cron jobs) que periodicamente chamam a rotinas que regeneram o carregador PHP ofuscado. Desse modo, embora a equipe de resposta remova o arquivo malicioso, a tarefa programada pode recriar automaticamente. Esta separação entre a persistência (cron) e a ativação (cookies) cria uma arquitetura “auto-reparadora” difícil de erradicar sem intervir em ambas as frentes.
A ofuscação é outro denominador comum. Esconder a lógica sensível e usar gating através de cookies minimiza o rasto interativo que deixam os atacantes: poucas entradas claras nos logs, nomes de arquivo que parecem legítimos e tráfego HTTP aparentemente normal. O resultado é um acesso pós-compromissível persistente que pode ser mantido latente durante longos períodos, exfiltrar dados ou servir como trampolim para movimentos laterais.
Detectar e responder a esta técnica exige pensar diferente sobre os sinais. Análise de logs orientada para cabeçalhos de cookie, detecção de padrões incomuns em nomes e comprimentos de cookies, e pesquisas ativas de conteúdo PHP ofuscado em diretórios web são passos necessários. Há também que auditar as tarefas programadas e correlacionar qualquer criação de arquivos em pastas públicas com eventos de administração ou implantaçãos legítimos. Ferramentas de inspeção profunda de pacotes e regras de firewall/web application firewall que examinem cabeçalhos podem ajudar a identificar pedidos contendo cookies suspeitos.
A Microsoft, cujo equipamento de investigação em segurança documentou este comportamento, recomenda uma combinação de medidas de prevenção e detecção: aplicar autenticação multifator em painéis de hospedagem, SSH e interfaces administrativas; monitorar acessos anormais; restringir a capacidade de execução de intérpretes de comando a partir de componentes da aplicação web; auditar cron jobs e tarefas agendadas e limitar as capacidades de shell a partir de painéis de controle. São recomendações concretas que atacam tanto a entrada inicial como a persistência e o controle do acesso remoto.
Além dessas medidas, adotar boas práticas na gestão de sessões e cookies diminui o risco de um vetor tão “natural” como um cookie servir para fins maliciosos. Recursos como guias de OWASP sobre gestão de sessões fornecem controles para garantir como são gerados, transmitidos e armazenados cookies em ambientes web ( OWASP Session Management Cheat Sheet). Conhecer o funcionamento da superglobal $_COOKIE e como o PHP expõe esses valores também é útil para auditorias e revisões de código ( Documentação oficial do PHP sobre cookies).
As detecções baseadas em comportamento e as regras centradas em anomalias são geralmente mais eficazes do que as assinadas quando se trata de código ofuscado e canais não tradicionais. A comunidade de segurança mantém documentação e avisos sobre a web shells e técnicas de persistência que ajudam a contextualizar estes ataques e a preparar respostas operacionais, por exemplo em repositórios de ameaças e marcos de referência como o MITRE ATT&CK ( MITRE ATT&CK — Web Shells) ou em alertas de agências nacionais ( CISA — alertas sobre a web shells).
Se você é responsável por um servidor ou por uma plataforma de hospedagem, a ação recomendada não é reagir apenas a um incidente, mas revisar as práticas de menor superfície de ataque: endurecer acessos administrativos, limitar quais processos do servidor web podem invocar intérpretes, controlar mudanças no cron e na estrutura de arquivos públicos, e ativar uma telemetria que inclua a análise de cabeçalhos HTTP. Estas medidas reduzem a probabilidade de um cookie se tornar uma porta traseira.
Em suma, o uso de cookies como canal de controle para web shells reflete uma evolução na tradecraft dos atacantes: buscam vias legítimas e aparentemente inofensivas para ocultar comandos e manter acesso persistente. Defender-se exige não apenas adesivos e hardening, mas uma maior atenção para como são geridos e registados os cabeçalhos HTTP e a linha frontal da administração: credenciais, cron e painéis de controle. Para aprofundar a pesquisa e recomendações, a documentação e os blogs de provedores de segurança e organismos oficiais continuam sendo uma leitura forçada; começar pelos repositórios de análise de ameaças e guias de boas práticas ajudará a priorizar ações.
Fontes e leitura adicional: o blog de segurança da Microsoft contém pesquisas e alertas relacionados a essas técnicas ( Microsoft Security Blog), enquanto organismos como a CISA e os quadros como o MITRE ATT&CK fornecem contexto e conselhos operacionais para detecção e mitigação.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...