Quase 2.000 sites WordPress foram infectados com malware que usa comentários de perfis da Steam Community para ocultar dados de command and control (C2).
O threat actor empregou caracteres Unicode invisíveis para codificar um payload que monta uma URL apontando para um script malicioso.
Ao explorar a plataforma da Valve, o invasor evita manter uma infraestrutura separada de C2 e dribla métodos tradicionais de detecção.
Desde que a campanha foi descoberta pela primeira vez, em julho de 2025, engenheiros de segurança da GoDaddy encontraram malware em cerca de 1.980 sites WordPress.
Ainda não está claro como os hackers invadiram os sites, mas os pesquisadores avaliam que o vetor inicial da infecção pode variar entre credenciais administrativas roubadas ou credenciais FTP/SFTP comprometidas, a exploração de um tema ou plugin WordPress vulnerável ou até um comprometimento de supply chain.
O malware de primeira etapa instalado no site usa carregamentos de páginas do WordPress para acessar perfis específicos da Steam e extrair texto de comentários aparentemente inofensivos.
No entanto, o texto contém caracteres Unicode ocultos que escondem payloads maliciosos, às vezes disfarçados como arte ASCII.
Em relatório, os pesquisadores da GoDaddy informam que o threat actor usa seis caracteres Unicode invisíveis para o payload codificado:
Zero-width non-joiner (U+200C)
Zero-width joiner (U+200D)
Function application (U+2061)
Invisible times (U+2062)
Invisible separator (U+2063)
Invisible plus (U+2064)
O decodificador ignora qualquer caractere visível e mapeia os invisíveis para um número correspondente.
Em seguida, converte esses valores em binário e reconstrói bytes a partir do fluxo binário.
"Essa codificação permite incorporar dados binários em um texto que parece normal.
Os caracteres visíveis servem como camuflagem, enquanto os invisíveis carregam o payload real", afirmou a GoDaddy.
Segundo os pesquisadores, o payload decodificado é usado para montar uma URL hello-mywordl[.]info que entrega código JavaScript injetado em todas as páginas frontend do WordPress.
Com base nos nomes dos arquivos, como asahi-jquery-min-bundle e lodash.core.min.js, o malware recuperado se disfarça como uma biblioteca JavaScript legítima.
A fase final do ataque consiste na implementação de um backdoor que responde a requisições POST especialmente criadas, desde que incluam um cookie de autenticação específico.
Se o cookie tEcaKKXEsb estiver presente, o backdoor aceita código PHP em base64 por meio do parâmetro POST, explicam os pesquisadores.
A GoDaddy descreve vários mecanismos de evasão usados pelo malware, incluindo strings ofuscadas com escapes octais e hexadecimais, nomes de funções aleatórios, código falso para logging desativado e o uso de APIs padrão do WordPress, o que ajuda o malware a se misturar à atividade normal.
Os administradores de sites podem se defender verificando referências a URLs da Steam Community, injeções suspeitas de JavaScript externo, conexões de saída de servidores WordPress para a Steam e scripts inesperados carregados de domínios como hello-mywordl[.]info.
Outros indícios incluem caracteres Unicode invisíveis, entradas suspeitas de cache _transient_caption_, verificação SSL desativada em requisições cURL e requisições POST contendo os cookies de autenticação do malware ou o parâmetro new_code.
Os pesquisadores recomendam que as equipes de segurança priorizem a restauração a partir de um backup confiável anterior à data da infecção.
Se isso não for possível, o processo de limpeza manual precisa ser completo, porque "os invasores podem reinstalar o código removido por meio do backdoor se qualquer componente permanecer ativo".
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...