Pesquisadores de segurança identificaram uma campanha maliciosa contra sites WordPress. A campanha usa vulnerabilidades conhecidas em temas WordPress e plugins, e afetou milhares de sites.
Campanha maliciosa compromete sites WordPress: os detalhes
De acordo com dados compartilhados pelo PublicWWW, finalmente 6,000 sites foram infectados apenas em abril. Contudo, já que os dados PublicWWW mostram apenas detecções para injeções de script simples, Pesquisadores da Sucuri acreditam que o escopo da campanha é “significativamente maior”.
A investigação foi iniciada por proprietários de sites WordPress reclamando de redirecionamentos indesejados. Esses redirecionamentos foram encontrados conectados a uma nova onda dessa operação massiva anteriormente conhecida, e estavam redirecionando os visitantes do site por meio de vários redirecionamentos para veicular anúncios indesejados.
De acordo com a investigação da Sucuri, todos esses sites WordPress sofriam de um problema comum – JavaScript malicioso injetado nos arquivos dos sites e no banco de dados, incluindo arquivos WP principais legítimos, tal como:
./wp-includes/js/jquery/jquery.min.js
./wp-includes/js/jquery/jquery-migrate.min.js
Isso pode permitir que o invasor redirecione os visitantes para qualquer destino online. O final da cadeia de redirecionamento pode carregar anúncios, páginas de phishing, ou mesmo malware. Também pode iniciar outro conjunto de redirecionamentos intrusivos, os pesquisadores disseram.
Por exemplo, uma dessas páginas encontrada no final da cadeia de redirecionamento, induziu os usuários a assinar notificações push. Envolveu um CAPTCHA falso. Ao concordar, os usuários seriam inundados com anúncios. Esses anúncios parecem vir do sistema operacional, não o navegador, os pesquisadores disseram.
Esta é uma grande ilustração de como os redirecionamentos do navegador podem ser maliciosos. Escrevemos diariamente sobre essas ameaças que levam os usuários a concordar em receber notificações push.
“Na hora de escrever, PublicWWW relatou 322 sites impactados por essa nova onda do malicioso drakefollow[.]com domínio. Considerando que essa contagem não inclui malware ofuscado ou sites que ainda não foram verificados pelo PublicWWW, o número real de sites afetados é provavelmente muito maior,” Sucuri concluiu.