Em um novo golpe cibernético, mais de 6.000 sites WordPress foram hackeados para a instalação de plugins maliciosos que exibem atualizações de software falsas e erros com o objetivo de disseminar malware que rouba informações dos usuários.
O malware que rouba informações tem sido uma preocupação crescente para especialistas em segurança ao redor do mundo. Credenciais roubadas são frequentemente usadas para comprometer redes e extrair dados valiosos. Desde 2023, a campanha maliciosa conhecida como ClearFake tem sido responsável por exibir banners falsos de atualização de navegador em sites comprometidos, facilitando a distribuição de malware.
Em 2024, surgiu uma nova campanha chamada ClickFix, que imita mensagens de erro de software, oferecendo falsas “correções” que na verdade são scripts do PowerShell. Esses scripts, quando executados, baixam e instalam malware que rouba informações. As campanhas ClickFix têm se tornado cada vez mais frequentes, com sites comprometidos exibindo banners falsos de erro para plataformas populares como Google Chrome, Google Meet, Facebook e até páginas de captcha.
Na semana passada, a GoDaddy relatou que as campanhas ClearFake/ClickFix comprometeram mais de 6.000 sites WordPress.
“A equipe de segurança da GoDaddy está rastreando uma nova variante do malware de atualização falsa do navegador ClickFix (também conhecido como ClearFake), que é distribuído por meio de plug-ins falsos do WordPress.”
explicou Denis Sinegubko, pesquisador de segurança da GoDaddy.
Esses plugins maliciosos são projetados para parecer legítimos aos administradores de sites, mas contêm scripts embutidos que enviam avisos falsos de atualização do navegador aos usuários. Eles utilizam nomes semelhantes a plugins legítimos, como Wordfence Security e LiteSpeed Cache, além de nomes genéricos inventados.
A Sucuri, uma empresa de segurança de sites, também identificou um plugin falso chamado “Universal Popup Plugin” como parte desta campanha. Ao ser instalado, o plugin injeta scripts JavaScript maliciosos no HTML do site, que então carregam mais scripts armazenados na Binance Smart Chain (BSC) para exibir os banners falsos.
Os registros de acesso analisados por Sinegubko indicam que os hackers usam credenciais de administrador roubadas para fazer login nos sites WordPress e instalar os plugins de forma automatizada. Este processo é realizado através de uma única solicitação HTTP POST, sugerindo que as credenciais já foram previamente obtidas.
Embora ainda não esteja claro como essas credenciais são obtidas, é possível que sejam fruto de ataques de força bruta, phishing ou malware prévio. Administradores de sites WordPress que detectarem alertas falsos devem verificar imediatamente os plugins instalados e remover qualquer um que não tenha sido autorizado. Além disso, é essencial redefinir as senhas dos usuários administradores para garantir a segurança do site.
