Pesquisadores de cibersegurança alertam para uma campanha maliciosa que compromete sites em WordPress por meio de injeções de JavaScript, projetadas para redirecionar usuários a páginas suspeitas.
Segundo Puja Srivastava, pesquisadora da Sucuri, “os visitantes dos sites recebem conteúdo injetado que funciona como malware drive-by, simulando uma verificação falsa da Cloudflare”.
A investigação da empresa de segurança começou após um cliente identificar que seu site WordPress estava entregando um script JavaScript suspeito, proveniente de terceiros, aos visitantes.
A origem da modificação maliciosa foi um arquivo relacionado ao tema, o “functions.php”.
O código inserido no “functions.php” faz referência ao Google Ads, provavelmente para tentar evitar a detecção.
Na prática, ele atua como um loader remoto, enviando uma requisição HTTP POST para o domínio “brazilc[.]com”.
Esse domínio responde com um payload dinâmico dividido em duas partes:
1. Um arquivo JavaScript hospedado em “porsasystem[.]com” — já identificado em 17 sites — que contém instruções para redirecionamentos.
2. Código JavaScript que cria um iframe escondido de 1x1 pixel, injetando elementos que simulam scripts legítimos da Cloudflare, como o “cdn-cgi/challenge-platform/scripts/jsd/main.js”, componente essencial da plataforma de detecção de bots da empresa.
É importante destacar que o domínio “porsasystem[.]com” está associado a um traffic distribution system (TDS) conhecido como Kongtuke (também chamado de 404 TDS, Chaya_002, LandUpdate808 e TAG-124).
Conforme reportado em 19 de setembro de 2025 pela conta “monitorsg” no Mastodon, a cadeia de infecção tem início com a visita a um site comprometido, que executa o script “porsasystem[.]com/6m9x.js” e, em seguida, “porsasystem[.]com/js.php”, conduzindo as vítimas a páginas no estilo ClickFix, usadas para distribuição de malware.
Esse cenário reforça a importância de proteger sites WordPress, mantendo plugins, temas e o CMS sempre atualizados.
Também é fundamental utilizar senhas fortes, monitorar o site para detectar anomalias e eliminar contas administrativas criadas indevidamente, garantindo o controle total mesmo após a remoção do malware.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...