Sites WordPress estão sendo hackeados para instalar plugins maliciosos que exibem atualizações de software falsas e erros para disseminar malware de roubo de informações.
Nos últimos anos, o malware de roubo de informações tornou-se um flagelo para os defensores da segurança em todo o mundo, pois credenciais roubadas são usadas para invadir redes e roubar dados.
Desde 2023, uma campanha maliciosa chamada ClearFake tem sido usada para exibir banners de atualização falsa de navegadores web em sites comprometidos que distribuem malware de roubo de informações.
Em 2024, uma nova campanha chamada ClickFix foi introduzida, compartilhando muitas semelhanças com ClearFake, mas, em vez disso, finge ser mensagens de erro de software com correções incluídas.
No entanto, essas "correções" são scripts PowerShell que, quando executados, irão baixar e instalar malware de roubo de informações.
As campanhas ClickFix tornaram-se cada vez mais comuns este ano, com atores de ameaças comprometendo sites para exibir banners mostrando erros falsos para Google Chrome, conferências do Google Meet, Facebook e até páginas de captcha.
Na semana passada, a GoDaddy relatou que os atores de ameaças do ClearFake/ClickFix invadiram mais de 6.000 sites WordPress para instalar plugins maliciosos que exibem os alertas falsos associados a essas campanhas.
"A equipe de segurança da GoDaddy está rastreando uma nova variante do malware de atualização falsa de navegador ClickFix (também conhecido como ClearFake) que é distribuído via plugins WordPress falsos," explica o pesquisador de segurança da GoDaddy, Denis Sinegubko.
Esses plugins aparentemente legítimos são projetados para parecer inofensivos para os administradores do site, mas contêm scripts maliciosos embutidos que entregam prompts falsos de atualização de navegador para os usuários finais.
Os plugins maliciosos utilizam nomes similares aos de plugins legítimos, como Wordfense Security e LiteSpeed Cache, enquanto outros usam nomes genéricos e inventados.
A lista de plugins maliciosos vistos nesta campanha entre junho e setembro de 2024 são:
A firma de segurança de sites Sucuri também notou que um plugin falso chamado "Universal Popup Plugin" também faz parte desta campanha.
Quando instalado, o plugin malicioso irá acionar várias ações do WordPress dependendo da variante para injetar um script JavaScript malicioso no HTML do site.
Quando carregado, este script tentará carregar um arquivo JavaScript malicioso adicional armazenado em um smart contract da Binance Smart Chain (BSC), que então carrega o script ClearFake ou ClickFix para exibir os banners falsos.
A partir dos logs de acesso ao servidor web analisados por Sinegubko, os atores de ameaças parecem estar utilizando credenciais de admin roubadas para entrar no site WordPress e instalar o plugin de forma automatizada.
Como você pode ver na imagem abaixo, os atores de ameaças entram via uma única requisição HTTP POST em vez de visitar primeiro a página de login do site.
Isso indica que está sendo feito de maneira automatizada depois que as credenciais já foram obtidas.
Uma vez que o ator de ameaça entra, eles fazem o upload e instalam o plugin malicioso.
Embora não esteja claro como os atores de ameaças estão obtendo as credenciais, o pesquisador nota que poderia ser através de ataques anteriores de força bruta, phishing e malware de roubo de informações.
Se você opera um site WordPress e está recebendo relatórios de alertas falsos sendo exibidos para os visitantes, você deve imediatamente examinar a lista de plugins instalados e remover qualquer um que você mesmo não tenha instalado.
Se você encontrar plugins desconhecidos, você também deve imediatamente redefinir as senhas de quaisquer usuários admin para uma senha única usada apenas no seu site.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...