Pesquisadores de cibersegurança lançaram luz sobre uma nova campanha visando sites WordPress que disfarça o malware como um plugin de segurança.
O plugin, chamado "WP-antymalwary-bot.php", vem com uma variedade de funções para manter acesso, ocultar-se do painel administrativo e executar código remoto.
"Uma funcionalidade de ping que pode reportar de volta a um servidor de comando e controle (C&C) também está incluída, assim como código que ajuda a espalhar o malware em outros diretórios e injetar JavaScript malicioso responsável por servir anúncios", disse Marco Wotschka da Wordfence em um relatório.
Primeiramente descoberto durante um esforço de limpeza de site no final de janeiro de 2025, o malware desde então foi detectado no ambiente online com novas variantes.
Alguns dos outros nomes usados para o plugin estão listados abaixo:
-addons.php;
- wpconsole.php;
- wp-performance-booster.php;
- scr.php.
Uma vez instalado e ativado, ele fornece aos atores de ameaças acesso administrativo ao painel e utiliza a REST API para facilitar a execução de código remoto injetando código PHP malicioso no arquivo de cabeçalho do tema do site ou limpando os caches de plugins de cacheamento populares.
Uma nova iteração do malware inclui mudanças notáveis na maneira como injeções de código são tratadas, buscando código JavaScript hospedado em outro domínio comprometido para servir anúncios ou spam.
O plugin é também complementado por um arquivo wp-cron.php malicioso, que recria e reativa o malware automaticamente na próxima visita ao site, caso ele seja removido do diretório de plugins.
Atualmente, não está claro como os sites são violados para entregar o malware ou quem está por trás da campanha.
No entanto, a presença de comentários e mensagens em língua russa provavelmente indica que os atores da ameaça são russófonos.
A divulgação ocorre à medida que a Sucuri detalhou uma campanha de web skimmer que usa um domínio falso de fontes chamado "italicfonts[.]org" para exibir um formulário de pagamento falso nas páginas de checkout, roubar as informações inseridas e exfiltrar os dados para o servidor do atacante.
Outro "ataque de carding avançado e multi-estágio" examinado pela empresa de segurança de sites envolve o alvo de portais de comércio eletrônico Magento com malware JavaScript projetado para colher uma ampla gama de informações sensíveis.
"Esse malware aproveitou um arquivo de imagem GIF falso, dados de sessionStorage do navegador local e manipulou o tráfego do site usando um servidor proxy reverso malicioso para facilitar o roubo de dados de cartão de crédito, detalhes de login, cookies e outros dados sensíveis do site comprometido", disse o pesquisador de segurança Ben Martin.
O arquivo GIF, na realidade, é um script PHP que age como um proxy reverso, capturando solicitações de entrada e usando isso para coletar as informações necessárias quando um visitante do site chega à página de checkout.
Adversários também foram observados injetando código Google AdSense em pelo menos 17 sites WordPress em vários lugares com o objetivo de entregar anúncios indesejados e gerar receita em uma base por clique ou por impressão.
"Eles estão tentando usar os recursos do seu site para continuar servindo anúncios, e pior, eles poderiam estar roubando sua receita de anúncios se você estiver usando o AdSense por conta própria", disse o pesquisador de segurança Puja Srivastava.
Ao injetar seu próprio código Google AdSense, eles são pagos em vez de você.
Isso não é tudo.
Verificações CAPTCHA enganosas servidas em sites comprometidos foram encontradas enganando usuários a baixar e executar backdoors baseados em Node.js que coletam informações do sistema, concedem acesso remoto e implantam um trojan de acesso remoto (RAT) baseado em Node.js, que é projetado para encaminhar o tráfego malicioso através de proxies SOCKS5.
A atividade foi atribuída pela Trustwave SpiderLabs a um sistema de distribuição de tráfego (TDS) chamado Kongtuke (também conhecido como 404 TDS, Chaya_002, LandUpdate808 e TAG-124).
"O script JS que foi solto após a infecção é projetado como um backdoor multifuncional capaz de reconhecimento detalhado do sistema, execução de comandos remotos, tunelamento de tráfego de rede (proxy SOCKS5) e manutenção de acesso persistente e oculto", disse o pesquisador de segurança Reegun Jayapaul.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...