Nos últimos anos, sites WordPress têm sido um alvo frequente de ataques cibernéticos, e recentemente mais de 6.000 foram comprometidos para a instalação de plugins maliciosos. Esses plugins exibem falsas atualizações de software e erros para induzir os usuários a instalar malware de roubo de informações (infostealers). Desde 2023, uma campanha maliciosa conhecida como ClearFake tem distribuído esses falsos alertas, utilizando banners de atualização de navegador que, ao serem acionados, instalam malwares que roubam credenciais e dados sensíveis.
Em 2024, uma nova variante chamada ClickFix emergiu, similar ao ClearFake, mas apresentando-se como mensagens de erro com “correções” que, na verdade, são scripts PowerShell. Esses scripts baixam e instalam malware no sistema do usuário, permitindo o roubo de informações confidenciais. Um exemplo comum dessas campanhas inclui falsos erros no Google Chrome, páginas de conferências do Google Meet, e até mesmo captchas falsos que mascaram o verdadeiro objetivo do ataque.
Plugins Maliciosos em WordPress
Na semana passada, a GoDaddy relatou que os responsáveis por ClearFake e ClickFix comprometeram milhares de sites WordPress, instalando plugins maliciosos que exibem esses falsos alertas. Segundo Denis Sinegubko, pesquisador de segurança da GoDaddy, esses plugins parecem legítimos para os administradores dos sites, mas contêm scripts maliciosos que direcionam os visitantes para atualizações de navegador falsas.
Os nomes desses plugins maliciosos são cuidadosamente escolhidos para se assemelhar a plugins populares e legítimos, como Wordfence Security e LiteSpeed Cache. Além disso, nomes genéricos são utilizados para enganar os administradores que podem não perceber que estão instalando um plugin perigoso. Entre os plugins usados nessa campanha entre junho e setembro de 2024 estão:
- LiteSpeed Cache Classic
- Wordfence Security Classic
- SEO Optimizer Pro
- Google SEO Enhancer
- Quick Cache Cleaner
- Advanced User Manager
A empresa de segurança Sucuri também identificou um plugin falso chamado Universal Popup Plugin, que injeta scripts maliciosos em várias ações do WordPress, dependendo da variante. Esses scripts injetados carregam código JavaScript de contratos inteligentes da Binance Smart Chain (BSC), permitindo a execução das campanhas ClearFake ou ClickFix.
Técnicas de Comprometimento
A análise dos logs de acesso ao servidor web mostra que os invasores utilizam credenciais administrativas roubadas para acessar os sites WordPress e instalar os plugins maliciosos de forma automatizada. O acesso ocorre por meio de uma única requisição HTTP POST, evidenciando que as credenciais já foram obtidas previamente. É possível que os dados de login sejam adquiridos por meio de ataques de força bruta, phishing ou malware de roubo de credenciais.
Para administradores de WordPress que observam alertas falsos sendo exibidos em seus sites, é fundamental verificar a lista de plugins instalados e remover qualquer plugin desconhecido. Além disso, é recomendado redefinir as senhas de todos os usuários administrativos para senhas únicas e fortes, garantindo maior segurança contra futuros ataques.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.