Aproveitando-se do assunto do momento, um Malware do WordPress está sendo distribuído através de plugins de Coronavírus pirateados. Entenda como isso acontece e proteja seu site.
Os sites WordPress têm sido alvo de uma campanha maliciosa altamente ativa que os infecta com um malware chamado WP-VCD, que se esconde à vista de todos e se espalha rapidamente por todo o site.
O grupo de hackers por trás disso também se certificou de que sua carga maliciosa também é muito difícil de se livrar, uma vez que consegue comprometer um site.
Para piorar as coisas, o malware também foi projetado para percorrer o servidor de hospedagem e infectar outros sites do WordPress que encontrar.
Embora os atores de ameaças usualmente aproveitem as vulnerabilidades de segurança do CMS que afetam a plataforma WordPress para se infiltrar em sites e injetar código malicioso, no caso do WP-VCD, os webmasters são os que espalham a infecção para seus sites.
Isso acontece porque o malware é disseminado usando cópias piratas (também conhecidas como nulas) de temas e plug-ins do WordPress atualmente distribuídos por uma grande rede de sites maliciosos.
Esses geralmente aparecem nos primeiros resultados dos resultados de pesquisa do Google e levam as fontes legítimas de plug-ins do WordPress para baixo da página.
Agora, os atores de ameaças por trás do malware WordPress WP-VCD começaram a distribuir versões modificadas dos plug-ins do Coronavirus que injetam uma backdoor em um site.
Malware do WordPress é distribuído através de plugins de Coronavírus
Como dito antes, a família WP-VCD de infecções do WordPress é distribuída como plug-in WordPress anulado ou pirateado que contém código modificado que injeta um backdoor em todos os temas instalados no blog, além de vários arquivos PHP.
Depois que um site WordPress é comprometido pelo WP-VCD, o malware tenta comprometer outros sites no mesmo host compartilhado e se conecta rotineiramente de volta ao servidor de comando e controle para receber novas instruções de execução.
O objetivo final desses plugins maliciosos é usar o site WordPress comprometido para exibir pop-ups ou realizar redirecionamentos que geram receita para os atores da ameaça.
Recentemente, o MalwareHunterTeam compartilhou algumas amostras de plugins do WordPress com o site BleepingComputer ,que estavam sendo sinalizados no VirusTotal como ‘Trojan.WordPress.Backdoor.A’.
Esses plugins do WordPress e outro que encontramos foram arquivos zip contendo o que pareciam ser plugins comerciais legítimos chamados “COVID-19 Coronavirus – Live Map WordPress Plugin”, gráficos de previsão de propagação do Coronavirus “e” Covid-19 “.
Depois que o site BleepingComputer os analisou, descobriu que todos esses plug-ins continham um arquivo ‘class.plugin-modules.php’ que continha código malicioso e várias sequências codificadas em base64 que são comumente associadas aos plug-ins WP-VCD.
Após a instalação do plug-in, ele pegará o código PHP codificado em base64 na variável WP_CD_CODE mostrada acima e o salvará no arquivo /wp-includes/wp-vcd.php.
Em seguida, ele anexa o código ao arquivo /wp-includes/post.php para carregar automaticamente o wp-vcd.php toda vez que uma página é carregada no site.
O plug-in também pesquisará todos os temas instalados e adicionará outro código PHP codificado em base64 a cada arquivo functions.php do tema.
Com essas modificações de arquivo, o código WP-VCD agora se conectará novamente ao servidor C2 para receber comandos a serem executados no host do WordPress.
Esses comandos geralmente são usados para injetar código que exibe anúncios maliciosos no site ou executar redirecionamentos para outros sites.
Como proteger o seu site
Como o malware WP-VCD é espalhado por plugins do WordPress pirateados, a melhor maneira de evitar a infecção do site é não baixar nenhum plug-in de sites não autorizados.
Como os plug-ins são facilmente modificados por qualquer pessoa com um pouco de conhecimento em PHP, o download e a instalação de plug-ins pirateados é sempre um risco.
Nesse ambiente, estamos vendo um aumento ainda maior nas campanhas maliciosas, aproveitando a ansiedade e as preocupações da pandemia de Coronavírus para distribuir ataques de malware e phishing.
É altamente recomendável que você instale apenas plug-ins do WordPress a partir de sites autorizados e não instale nenhum plug-in pirateado, pois há uma boa chance de seu site ser comprometido.
- Como instalar o relógio de xadrez Chess Clock no Linux via Flatpak
- Como instalar o jogo DevilutionX no Linux via AppImage
- Como instalar o Emulador Nintendo 64 m64p no Linux via Flatpak
- Como instalar o cubo mágico rubecube no Linux via Snap