Falha crítica no Sneeit WordPress permite invasão total de sites WordPress, enquanto vulnerabilidade no ICTBroadcast alimenta o crescimento do botnet Frost

Uma falha grave no plugin Sneeit Framework, utilizado em sites WordPress, está sendo explorada ativamente por hackers, segundo dados da empresa Wordfence. Classificada como CVE-2025-6389 e com pontuação CVSS de 9.8, a vulnerabilidade permite execução remota de código (RCE) e afeta todas as versões do plugin até a 8.3 que soma mais de 1.700 instalações ativas. A correção foi disponibilizada na versão 8.4, lançada em 5 de agosto de 2025.

De acordo com a Wordfence, a falha decorre do uso inseguro da função sneeit_articles_pagination_callback(), que repassa entrada fornecida pelo usuário para call_user_func(). Isso permite que invasores não autenticados executem funções PHP arbitrárias, como wp_insert_user(), possibilitando a criação de usuários administradores maliciosos. Com esse acesso, os hackers conseguem assumir o controle do site e injetar códigos que redirecionam visitantes para páginas fraudulentas, malware ou spam.

Os ataques começaram no mesmo dia em que a falha foi divulgada publicamente, em 24 de novembro de 2025. Desde então, a Wordfence afirma ter bloqueado mais de 131 mil tentativas de exploração, incluindo 15.381 ataques apenas nas últimas 24 horas.

Entre as táticas observadas estão requisições manipuladas ao endpoint /wp-admin/admin-ajax.php para criar usuários falsos como “arudikadis” e enviar arquivos PHP maliciosos como tijtewmg.php. Esses arquivos funcionam como backdoors e podem ler, editar, apagar arquivos, escanear diretórios e extrair ZIPs. Outras variantes identificadas incluem xL.php, Canonical.php, .a.php e simple.php. O shell xL.php, por exemplo, é baixado por up_sf.php, o qual também recupera um arquivo .htaccess do domínio racoonlab[.]top para garantir execução de scripts mesmo em diretórios normalmente restritos.

ICTBroadcast explorado para distribuir o botnet Frost

Enquanto isso, a empresa VulnCheck alertou sobre ataques ativos explorando a vulnerabilidade CVE-2025-2611 no sistema ICTBroadcast. Os ataques visam baixar um shell script stager responsável por instalar diferentes versões de um binário chamado Frost, compatível com múltiplas arquiteturas.

Cada versão é executada e, em seguida, removida junto com o stager para dificultar a análise forense. O Frost combina ferramentas de DDoS com mecanismos de propagação que incluem 14 exploits cobrindo 15 CVEs.

Segundo Jacob Baines, pesquisador da VulnCheck, o Frost opera de forma seletiva:

“O operador não dispara exploits indiscriminadamente pela internet. O Frost verifica primeiro as condições do alvo e só continua se encontrar exatamente os indicadores que espera.”

Um exemplo: o Frost só explora a falha CVE-2025-1610 quando recebe, em duas requisições HTTP consecutivas, as strings “Set-Cookie: user=(null)” e “Set-Cookie: user=admin”. Caso contrário, o malware permanece inativo.

Os ataques recentes vêm do IP 87.121.84[.]52, e, embora várias botnets já tenham utilizado essas vulnerabilidades, os pesquisadores apontam que esta campanha específica parece mais focada e limitada, já que menos de 10 mil sistemas expostos são vulneráveis.

Isso sugere que o grupo por trás da operação é pequeno, mas possui ferramentas adicionais além daquelas identificadas no binário Frost.

Via - THN