Um malware evasivo sofisticado capaz de criar uma conta com privilégio de administrador para um site está à espreita por trás de um plugin de cache do WordPress de aparência autêntica, dando aos operadores de ameaças condições de assumirem e monetizarem sites às custas do SEO (Search Engine Optimization) legítimo e da privacidade do usuário.
Pesquisadores do Wordfence, equipe de pesquisa de segurança número um do WordPress no mundo, descobriram o plugin, que pode executar uma variedade de tarefas maliciosas enquanto se disfarça de software complementar legítimo para a plataforma WordPress, revelaram em um post no blog da organização na quarta-feira passada, 11. A principal dessas atividades é a capacidade de criar uma conta de administrador e ativar plugins remotamente — basicamente dando aos operadores de ameaças controle livre sobre sites infectados.
A backdoor pode funcionar tanto como um script autônomo quanto como um plugin, com recursos como ativação remota de plug-in e filtragem condicional de conteúdo que lhe dão recursos de evasão difíceis de serem detectados por usuários inexperientes.
Outros recursos incluem a capacidade de adicionar filtros para impedir que o malware seja incluído na lista de plug-ins ativados, funcionalidade de ping que permite que um hacker verifique se o script ainda está operacional e recursos de modificação de arquivo. Além disso, a backdoor pode ativar ou desativar plugins arbitrários remotamente, o que é “útil para desativar plugins indesejados e também para ativar esse plugin malicioso conforme necessário”, escreveu o pesquisador de vulnerabilidades do Wordfence, Marco Wotschka.
“Como o arquivo malicioso é executado como um plugin dentro do contexto do WordPress, ele tem acesso à funcionalidade normal do WordPress, assim como outros plug-ins”, escreveu Wotschka. “Juntos, esses recursos fornecem aos invasores tudo o que precisam para controlar e monetizar remotamente um site vítima, às custas dos próprios rankings de SEO do site e da privacidade do usuário.”
Um analista do Wordfence descobriu uma amostra do malware durante uma limpeza do site em 18 de julho e criou uma assinatura no dia seguinte, que foi posteriormente testada e liberada para os clientes do Wordfence em 1º de setembro.
Plugin malicioso, mas detectável
Os pesquisadores detalharam algumas das principais funcionalidades do plugin malicioso, incluindo recursos que são mais prováveis de levantar suspeita entre os administradores ou usuários atuais do site.
Uma delas é usar wp_create_user função para criar uma nova conta de usuário com o nome de usuário superadministrador e uma senha codificada para configurar um invasor como administrador de site. Essa conta é removida assim que uma vítima é comprometida com sucesso como uma forma de remover vestígios e, assim, reduzir as alterações de detecção, de acordo com o Wordfence.
“Embora frequentemente visto em código de teste, a criação de usuários com senhas codificadas deve ser considerada um sinal de alerta, e a elevação desse usuário a administrador certamente é motivo suficiente para suspeita”, escreveu Wotschka.
O plugin malicioso também inclui código de detecção de bot, que geralmente está presente em malware em um site que serve conteúdo normal para alguns usuários enquanto redireciona ou apresenta conteúdo malicioso para outros.
“Um tópico comum compartilhado por esses cenários de infecção é que os proprietários de sites acham que seu site parece bom para eles, mas seus visitantes relataram problemas como ver spam ou ser redirecionado para sites duvidosos”, explicou Wotschka.
Veja isso
Bug no plug-in de migração do WordPress expõe sites a ataques
Mais de 200 mil sites WordPress estão expostos a ciberataques
Além disso, como esse tipo de malware quer que os mecanismos de busca encontrem o conteúdo malicioso, geralmente é servido a eles à medida que indexam um site, disse ele. Os operadores de ameaças usam o preenchimento de palavras-chave para ajudar a aumentar o tráfego enviado para sites infectados, com os administradores frequentemente relatando um aumento repentino e inesperado no tráfego do site quando seus sites são atingidos por uma infecção.
Embora a presença de código de detecção de bot por si só não seja suficiente para verificar se a atividade maliciosa está presente em um site, ela se destaca como atividade suspeita, acrescentou Wotschka.
Os plugins continuam sendo uma superfície de ataque considerável para o WordPress e os milhões de sites construídos nele, um problema endêmico que continua sendo uma ameaça persistente. Os operadores de ameaças têm visado sites WordPress por meio de plugins maliciosos e vulneráveis, com ambos os problemas muitas vezes passando despercebidos pelos administradores do site até que ele já esteja sob ataque ativo.
No geral, qualquer pessoa que construa sites usando o WordPress deve seguir as melhores práticas de segurança em como configurá-los para garantir que eles permaneçam o mais protegidos possível. A Wordfence orienta que também devem incluir algum tipo de monitoramento de segurança no local em caso de comprometimento mesmo após seguir essas práticas.