Falha em plugin do Wordpress traz risco a mais de 280 mil sitesCampanha criminosa mira plugin vulnerável no Wordpress

Segundo a firma de segurança Sucuri, cibercriminosos vêm conduzindo nas últimas semanas uma campanha massiva, que explora brechas no WordPress. Os atacantes invadem sites que usam a plataforma e publicação de conteúdo e redirecionam os visitantes para falsos fóruns de discussão e de perguntas e respostas. Os pesquisadores encontraram cerca de 20 mil arquivos “envenenados”, usados como parte da campanha de spam. O objetivo inicial dos bandidos seria gerar páginas indexadas, o suficiente para que elas ganhem autoridade. Quando o Google entende que certo endereço possui relevância, com tráfego aparentemente autêntico, o site melhora sua classificação e aparece com mais frequência e em posição destacada nos feeds e resultados de buscas. O principal objetivo dos cibercriminosos seria usar a popularidade e a falsa confiabilidade da página para distribuir malwares e páginas de phishing, além de explorar os sites como geradores de tráfego de anúncios fraudulentos. É uma campanha com certa sofisticação, porque envolve a manipulação do sistema do Google a longo prazo, já que, em menos tempo, a própria Gigante das Buscas notaria uma atividade suspeita cheia de infecções.

Como funciona a campanha de manipulação das buscas do Google

Segundo relatos dos pesquisadores da Sucuri, os bandidos modificam arquivos PHP do WordPress, como para injetar os redirecionamentos a páginas falsas. Em alguns casos, os invasores lançam seus próprios arquivos PHP no site de destino, usando nomes aleatórios ou parecidos com legítimos, como “wp-logln.php”. Os arquivos infectados ou injetados contêm o código malicioso que verifica se os visitantes do site estão logados no WordPress, e, se não estiverem, redireciona-os para uma URL que finge ser uma imagem. Dessa forma, o conteúdo “envenenado” com uma aplicação em JavaScript foge da detecção dos navegadores, e leva os usuários para as páginas falsas. Os pesquisadores descobriram redirecionamento para vários domínios e subdomínios, em uma lista com quase 1,2 mil endereços. Os mais populares são esses:

pt.w4ksa[.]compaz.yomeat[.]comqa.bb7r[.]compt.ajeel[.]storeqa.istisharaat[.]compt.photolovegirl[.]compt.poxnel[.]comqa.tadalafilhot[.]comquestion.rawafedpor[.]comqa.elbwaba[.]comquestion.firstgooal[.]comqa.cr-halal[.]comqa.aly2um[.]com

Uma das maiores dificuldades para encontrar os responsáveis pela campanha se deve ao fato de a maioria dos sites falsos se esconderem bem por trás de servidores Cloudflare. Contudo, como todos as páginas maliciosas possuem modelos de criação semelhantes, parecem vir de ferramentas automatizadas — então, é provável que todos tenham origens parecidas. Como isso tudo possivelmente começa a partir de vulnerabilidades no WordPress, é preciso ficar atento às notícias sobre brechas na plataforma de blogs. E, claro, acima de tudo, atualizar todos os plugins do WordPress e CMS do site para a versão mais recente, além de ativar a autenticação de dois fatores (2FA) nas contas de administrador.