wordpress-581849_640.jpg

2 mil sites WordPress são atingidos por código malicioso

Após a exploração, hackers conseguem inserir código malicioso JavaScript, que inicia uma série de redirecionamentos para um site fraudulento de “pesquisa de presentes”

wordpress-581849_640.jpg

Milhares de sites baseados em WordPress foram infectados com código malicioso JavaScript com objetivo de promover sites fraudulentos, de acordo com o Sucuri SiteCheck, serviço online desenvolvido para que internautas e donos de websites encontrem qualquer atividade de malware vinculada a uma URL. 

O número de infecções aumentou na semana passada, com hackers explorando vulnerabilidades em vários plugins, incluindo Simple Fields e o CP Contact Form with PayPal, explicou o serviço de segurança em um post no blog corporativo.

Após a exploração, os hackers conseguem inserir código malicioso JavaScript, que inicia uma série de redirecionamentos para um site fraudulento de “pesquisa de presentes”, em que os usuários são induzidos a entregar informações pessoais e instalar malware inconscientemente. Entre os domínios registrados como parte da campanha estão gotosecond2 [.] Com, adsformarket [.] Com, admarketlocation [.] Com e admarketresearch [.] Xyz.

“Infelizmente, para os proprietários de sites, essa carga maliciosa de JavaScript é capaz de fazer outras modificações nos arquivos de temas existentes do WordPress por meio do arquivo /wp-admin/theme-editor.php. Isso permite que eles insiram malware adicional, como backdoors e hacktools do PHP, em outros arquivos de tema para que eles continuem a manter o acesso não autorizado ao site infectado”, explica o Sucuri.

“Incentivamos os proprietários de sites a desativar a modificação de pastas primárias, impedindo que hackers insiram arquivos maliciosos ou inclua como parte das práticas recomendadas de proteção e proteção de segurança do WordPress”, completa o post no site

Também foi observado que os invasores abusaram do /wp-admin/ features para criar diretórios de plug-ins falsos que contêm mais malware, por exemplo, enviando arquivos compactados com zip usando o arquivo /wp-admin/includes/plugin-install.php para carregar e descompactar um plugin falso compactado em /wp-content/plugins/.

Os dois diretórios de plugins falsos mais comuns encontrados pela Sucuri são /wp-content/plugins/supersociall/supersociall.php e /wp-content/plugins/blockspluginn/blockspluginn.php.

A empresa descobriu mais de 2 mil sites infectados até agora comprometidos nesta campanha. O WordPress é de longe o maior vetor quando se trata de plataformas de sites invadidos. Ele foi responsável por 90% dos sites comprometidos detectados pela Sucuri em 2019, ante 83% em 2018. Houve uma grande queda no Magento (4,6%) e no Joomla (4,3%), que ocupam a segunda e terceira posição entre as ferramentas de CMS mais usadas.