wordpress-581849_640.jpg

Backdoor localizado em clientes de WordPress da GoDaddy

Empresa de segurança de Wordfence localizou 298 sites infectados com um backdoor a partir de 11 de março e 281 estão hospedados no GoDaddy
Da Redação
17/03/2022

A equipe de resposta a incidentes da Wordfence, empresa especializada na segurança de instalações do gerenciador de conteúdo WordPress, publicou na terça-feira um alerta sobre a localização de backdoors em 298 sites, todos infectados do dia 11 de março de 2022 em diante. Desse total, 281 estão no serviço de hospedagem especializado em WordPress da GoDaddy. A Wordfence informa que ainda não determinou o vetor de contaminação, mas recorda que em 2021 um invasor desconhecido obteve acesso não autorizado ao sistema da GoDaddy usado para atualizar os sites Managed WordPress da empresa, impactando até 1,2 milhão de seus clientes desse serviço.

Segundo a Wordfence, os sites contaminados sites são administrados por seis revendedores da GoDaddy: MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet e Host Europe. Em todos os sites afetados o arquivo wp-config.php tem um backdoor. Esse fragmento de malware está em uso desde pelo menos 2015, diz o alerta da Wordfence: “Ele cria falsos resultados para páginas de pesquisa do Google e inclui recursos personalizados para o site infectado. O backdoor principal é adicionado no início do wp-config.php.”

Veja isso
Falso ataque a WordPress apavora webmasters
Dados de 1,2 milhão de clientes vazam da GoDaddy

Quando uma solicitação com um cookie definido para determinado valor codificado em base64 for enviada ao site, o backdoor baixará um modelo de link de um domínio de comando e controle (C2) – (neste caso t-fish-ka[.]ru) e o salvará em um arquivo de nome definido pelo hash MD5 gerado com o domínio do site infectado: “Por exemplo, o arquivo codificado para ‘examplesite.com’ seria nomeado 8c14bd67a49c34807b57202eb549e461, que é um hash desse domínio”.

Embora o domínio C2 tenha um domínio russo, não há indicação de que a campanha tenha motivação política ou esteja relacionada à invasão russa da Ucrânia diz o alerta: “O domínio exibe uma página da Web em branco, mas em 2019 estava servindo o que parece ser conteúdo adulto, possivelmente com um ângulo de marketing de afiliados”.

Com informações da assessoria de imprensa

Compartilhar:

Últimas Notícias