Plugin de segurança falso no WordPress abre brecha para acesso administrativo

Pesquisadores de segurança cibernética trouxeram à luz uma nova campanha direcionada a sites WordPress que disfarça um malware como um plugin de segurança legítimo. O plugin malicioso, identificado como "WP-antymalwary-bot.php", é equipado com diversas funcionalidades para manter o acesso não autorizado, ocultar-se do painel de administração e executar código remotamente.

"Funcionalidades de 'ping' que podem reportar informações para um servidor de comando e controle (C&C) também estão incluídas, assim como código que auxilia na propagação do malware para outros diretórios e na injeção de JavaScript malicioso responsável por exibir anúncios indesejados", detalhou Marco Wotschka, pesquisador da Wordfence, em um relatório. Descoberto inicialmente durante uma ação de limpeza de um site no final de janeiro de 2025, o malware já foi detectado em atividade com novas variantes.

Outros nomes utilizados para disfarçar o plugin incluem "addons.php", "wpconsole.php", "wp-performance-booster.php" e "scr.php". Uma vez instalado e ativado, o plugin concede aos invasores acesso administrativo ao painel do WordPress e explora a API REST para facilitar a execução remota de código, injetando código PHP malicioso no arquivo de cabeçalho do tema do site ou limpando os caches de plugins de cache populares.

Uma nova versão do malware apresenta alterações significativas na forma como as injeções de código são realizadas, buscando código JavaScript hospedado em outro domínio comprometido para exibir anúncios ou spam. O plugin malicioso é complementado por um arquivo "wp-cron.php" também malicioso, que recria e reativa o malware automaticamente na próxima visita ao site, caso seja removido do diretório de plugins.

Atualmente, não está claro como os sites são comprometidos para entregar o malware ou quem está por trás da campanha. No entanto, a presença de comentários e mensagens em russo sugere que os invasores são falantes dessa língua.

A revelação dessa campanha ocorre em um momento em que a Sucuri detalhou uma campanha de "web skimmer" que utiliza um domínio falso de fontes chamado "italicfonts[.]org" para exibir um formulário de pagamento falso em páginas de checkout, roubar informações inseridas e exfiltrar os dados para o servidor dos hackers. Outro "ataque de carding avançado e multiestágio" examinado pela empresa de segurança de sites envolve o direcionamento de portais de comércio eletrônico Magento com malware JavaScript projetado para coletar uma ampla gama de informações confidenciais.

"Esse malware explorou um arquivo de imagem GIF falso, dados locais do sessionStorage do navegador e adulterou o tráfego do site usando um servidor proxy reverso malicioso para facilitar o roubo de dados de cartão de crédito, detalhes de login, cookies e outros dados confidenciais do site comprometido", explicou o pesquisador de segurança Ben Martin.

O arquivo GIF, na realidade, é um script PHP que atua como um proxy reverso, capturando as solicitações recebidas e utilizando-as para coletar as informações necessárias quando um visitante do site chega à página de checkout. Invasores também foram observados injetando código Google AdSense em pelo menos 17 sites WordPress em diversos locais, com o objetivo de exibir anúncios indesejados e gerar receita por clique ou por impressão.

"Eles estão tentando usar os recursos do seu site para continuar exibindo anúncios e, pior, podem estar roubando sua receita de anúncios se você mesmo usa o AdSense", alertou a pesquisadora de segurança Puja Srivastava.

"Ao injetar seu próprio código Google AdSense, eles são pagos em vez de você." Além disso, verificações CAPTCHA enganosas exibidas em sites comprometidos foram encontradas induzindo usuários a baixar e executar backdoors baseados em Node.js que coletam informações do sistema, concedem acesso remoto e implantam um trojan de acesso remoto (RAT) Node.js, projetado para tunelar tráfego malicioso através de proxies SOCKS5. Essa atividade foi atribuída pela Trustwave SpiderLabs a um sistema de distribuição de tráfego (TDS) chamado Kongtuke (também conhecido como 404 TDS, Chaya_002, LandUpdate808 e TAG-124).

"O script JS, que foi instalado após a infecção, foi projetado como um backdoor multifuncional capaz de realizar reconhecimento detalhado do sistema, executar comandos remotos, tunelar tráfego de rede (proxy SOCKS5) e manter acesso secreto e persistente", concluiu o pesquisador de segurança Reegun Jayapaul.

Via - THN