Após a exploração, hackers conseguem inserir código malicioso JavaScript, que inicia uma série de redirecionamentos para um site fraudulento de “pesquisa de presentes”
Milhares de sites baseados em WordPress foram infectados com código malicioso JavaScript com objetivo de promover sites fraudulentos, de acordo com o Sucuri SiteCheck, serviço online desenvolvido para que internautas e donos de websites encontrem qualquer atividade de malware vinculada a uma URL.
O número de infecções aumentou na semana passada, com hackers explorando vulnerabilidades em vários plugins, incluindo Simple Fields e o CP Contact Form with PayPal, explicou o serviço de segurança em um post no blog corporativo.
Após a exploração, os hackers conseguem inserir código malicioso JavaScript, que inicia uma série de redirecionamentos para um site fraudulento de “pesquisa de presentes”, em que os usuários são induzidos a entregar informações pessoais e instalar malware inconscientemente. Entre os domínios registrados como parte da campanha estão gotosecond2 [.] Com, adsformarket [.] Com, admarketlocation [.] Com e admarketresearch [.] Xyz.
“Infelizmente, para os proprietários de sites, essa carga maliciosa de JavaScript é capaz de fazer outras modificações nos arquivos de temas existentes do WordPress por meio do arquivo /wp-admin/theme-editor.php. Isso permite que eles insiram malware adicional, como backdoors e hacktools do PHP, em outros arquivos de tema para que eles continuem a manter o acesso não autorizado ao site infectado”, explica o Sucuri.
“Incentivamos os proprietários de sites a desativar a modificação de pastas primárias, impedindo que hackers insiram arquivos maliciosos ou inclua como parte das práticas recomendadas de proteção e proteção de segurança do WordPress”, completa o post no site
Também foi observado que os invasores abusaram do /wp-admin/ features para criar diretórios de plug-ins falsos que contêm mais malware, por exemplo, enviando arquivos compactados com zip usando o arquivo /wp-admin/includes/plugin-install.php para carregar e descompactar um plugin falso compactado em /wp-content/plugins/.
Os dois diretórios de plugins falsos mais comuns encontrados pela Sucuri são /wp-content/plugins/supersociall/supersociall.php e /wp-content/plugins/blockspluginn/blockspluginn.php.
A empresa descobriu mais de 2 mil sites infectados até agora comprometidos nesta campanha. O WordPress é de longe o maior vetor quando se trata de plataformas de sites invadidos. Ele foi responsável por 90% dos sites comprometidos detectados pela Sucuri em 2019, ante 83% em 2018. Houve uma grande queda no Magento (4,6%) e no Joomla (4,3%), que ocupam a segunda e terceira posição entre as ferramentas de CMS mais usadas.