Sites WordPress estão sendo hackeados para instalar plugins maliciosos que exibem falsas atualizações de software e erros para distribuir malware que rouba informações.
Nos últimos anos, o malware de roubo de informações tornou-se uma praga para os defensores da segurança em todo o mundo, uma vez que credenciais roubadas são usadas para invadir redes e roubar dados.
Desde 2023, uma campanha maliciosa chamada ClearFake tem sido usada para exibir falsas faixas de atualização de navegador web em sites comprometidos que distribuem malware de roubo de informações.
Em 2024, uma nova campanha chamada ClickFix foi introduzida, compartilhando muitas semelhanças com o ClearFake, mas, em vez disso, finge ser mensagens de erro de software com correções incluídas.
No entanto, essas "correções" são scripts do PowerShell que, quando executados, vão baixar e instalar malware de roubo de informações.
As campanhas do ClickFix têm se tornado cada vez mais comuns este ano, com atores de ameaças comprometendo sites para exibir banners mostrando falsos erros para o Google Chrome, conferências do Google Meet, Facebook e até páginas de captcha.
Na semana passada, a GoDaddy relatou que os atores de ameaças ClearFake/ClickFix violaram mais de 6.000 sites WordPress para instalar plugins maliciosos que exibem os alertas falsos associados a essas campanhas.
"A equipe de segurança da GoDaddy está rastreando uma nova variante do malware de atualização falsa do navegador ClickFix (também conhecido como ClearFake) que é distribuído via plugins falsos do WordPress," explica o pesquisador de segurança da GoDaddy, Denis Sinegubko.
Esses plugins aparentemente legítimos são projetados para parecer inofensivos para os administradores de sites, mas contêm scripts maliciosos embutidos que entregam prompts falsos de atualização do navegador aos usuários finais.
Os plugins maliciosos utilizam nomes semelhantes aos de plugins legítimos, como Wordfense Security e LiteSpeed Cache, enquanto outros usam nomes genéricos e inventados.
A lista de plugins maliciosos vistos nesta campanha entre junho e setembro de 2024 são:
A empresa de segurança de sites Sucuri também observou que um plugin falso chamado "Universal Popup Plugin" também faz parte desta campanha.
Quando instalado, o plugin malicioso irá conectar várias ações do WordPress dependendo da variante para injetar um script JavaScript malicioso no HTML do site.
Quando carregado, esse script tentará carregar um arquivo JavaScript malicioso adicional armazenado em um contrato inteligente da Binance Smart Chain (BSC), que então carrega o script ClearFake ou ClickFix para exibir os banners falsos.
A partir dos logs de acesso ao servidor web analisados por Sinegubko, os atores de ameaças parecem estar utilizando credenciais de administrador roubadas para entrar no site WordPress e instalar o plugin de maneira automatizada.
Como você pode ver na imagem abaixo, os atores de ameaças entram via uma única requisição HTTP POST em vez de visitar primeiro a página de login do site.
Isso indica que está sendo feito de maneira automatizada depois de as credenciais já terem sido obtidas.
Uma vez que o ator de ameaças entra, eles fazem upload e instalam o plugin malicioso.
Embora não esteja claro como os atores de ameaças estão obtendo as credenciais, o pesquisador observa que pode ser através de ataques anteriores de força bruta, phishing e malware de roubo de informações.
Se você opera um site WordPress e está recebendo relatos de alertas falsos sendo exibidos aos visitantes, você deve imediatamente examinar a lista de plugins instalados e remover qualquer um que você não tenha instalado pessoalmente.
Se encontrar plugins desconhecidos, você também deve imediatamente redefinir as senhas de quaisquer usuários admin para uma senha única, utilizada apenas no seu site.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...