Segundo a GoDaddy, mais de 6.000 sites WordPress hackeados instalam plugins maliciosos. Confira os detalhes dessa perigosa ameaça.
Sites WordPress estão sendo hackeados para instalar plugins maliciosos que exibem atualizações de software falsas e erros para enviar malware que rouba informações.
Sites WordPress hackeados instalam plugins maliciosos
Nos últimos dois anos, o malware que rouba informações se tornou um flagelo para os defensores de segurança em todo o mundo, pois credenciais roubadas são usadas para violar redes e roubar dados.
Desde 2023, uma campanha maliciosa chamada ClearFake tem sido usada para exibir banners falsos de atualização de navegador da web em sites comprometidos que distribuem malware que rouba informações.
Em 2024, uma nova campanha chamada ClickFix foi introduzida, que compartilha muitas semelhanças com o ClearFake, mas, em vez disso, finge ser mensagens de erro de software com correções incluídas.
No entanto, essas “correções” são scripts do PowerShell que, quando executados, baixam e instalam malware que rouba informações.
As campanhas do ClickFix se tornaram cada vez mais comuns este ano, com agentes de ameaças comprometendo sites para exibir banners mostrando erros falsos para o Google Chrome, conferências do Google Meet, Facebook e até mesmo páginas de captcha.
Plugins maliciosos do WordPress
Na semana passada, a GoDaddy relatou que os agentes de ameaças ClearFake/ClickFix violaram mais de 6.000 sites do WordPress para instalar plugins maliciosos que exibem os alertas falsos associados a essas campanhas.
“A equipe de segurança da GoDaddy está rastreando uma nova variante do malware de atualização falsa do navegador ClickFix (também conhecido como ClearFake) que é distribuído por meio de plugins falsos do WordPress”, explica o pesquisador de segurança da GoDaddy, Denis Sinegubko.
“Esses plugins aparentemente legítimos são projetados para parecerem inofensivos para administradores de sites, mas contêm scripts maliciosos incorporados que fornecem prompts falsos de atualização do navegador para usuários finais.”
Os plugins maliciosos utilizam nomes semelhantes aos plugins legítimos, como Wordfense Security e LiteSpeed Cache, enquanto outros usam nomes genéricos e inventados.
A lista de plugins maliciosos vistos nesta campanha entre junho e setembro de 2024 é:
| LiteSpeed Cache Clássico | Injetor CSS personalizado |
| MonsterInsights Clássico | Gerador de rodapé personalizado |
| Segurança Wordfence Clássica | Estilizador de login personalizado |
| Melhorador de classificação de pesquisa | Gerenciador de Barra Lateral Dinâmico |
| SEO Booster Pro | Gerenciador de temas fáceis |
| Melhorador de SEO do Google | Construtor de formulários Pro |
| Rank Booster Pro | Limpador de cache rápido |
| Personalizador da barra de administração | Construtor de menu responsivo |
| Gerenciador de Usuário Avançado | Otimizador de SEO Pro |
| Gerenciamento avançado de widgets | Melhorador de postagem simples |
| Bloqueador de conteúdo | Integrador de mídia social |
A empresa de segurança de sites Sucuri também observou que um plugin falso chamado “Universal Popup Plugin” também faz parte desta campanha.
Quando instalado, o plugin malicioso irá conectar várias ações do WordPress dependendo da variante para injetar um script JavaScript malicioso no HTML do site.
Quando carregado, este script tentará carregar um arquivo JavaScript malicioso armazenado em um contrato inteligente Binance Smart Chain (BSC), que então carrega o script ClearFake ou ClickFix para exibir os banners falsos.
A partir dos logs de acesso do servidor web analisados por Sinegubko, os agentes da ameaça parecem estar utilizando credenciais de administrador roubadas para fazer login no site WordPress e instalar o plugin de forma automatizada.
Como você pode ver na imagem abaixo, os agentes da ameaça fazem login por meio de uma única solicitação HTTP POST em vez de primeiro visitar a página de login do site. Isso indica que está sendo feito de forma automatizada após as credenciais já terem sido obtidas.
Assim que o agente da ameaça faz login, ele carrega e instala o plugin malicioso.
Embora não esteja claro como os agentes da ameaça estão obtendo as credenciais, o pesquisador observa que pode ser por meio de ataques de força bruta anteriores, phishing e malware para roubo de informações.
Se você é uma operação WordPress e está recebendo relatórios de alertas falsos sendo exibidos aos visitantes, você deve examinar imediatamente a lista de plugins instalados e remover qualquer um que você não instalou.
Se você encontrar plugins desconhecidos, você também deve redefinir imediatamente as senhas de quaisquer usuários administradores para uma senha única usada somente em seu site.
