Do not speak Portuguese? Translate this site with Google or Bing Translator

Malware do WordPress está sendo distribuído através de plugins de Coronavírus pirateados

Aproveitando-se do assunto do momento, um Malware do WordPress está sendo distribuído através de plugins de Coronavírus pirateados. Entenda como isso acontece e proteja seu site.

Os sites WordPress têm sido alvo de uma campanha maliciosa altamente ativa que os infecta com um malware chamado WP-VCD, que se esconde à vista de todos e se espalha rapidamente por todo o site.

Malware do WordPress está sendo distribuído através de plugins de Coronavírus pirateados
Malware do WordPress está sendo distribuído através de plugins de Coronavírus pirateados

O grupo de hackers por trás disso também se certificou de que sua carga maliciosa também é muito difícil de se livrar, uma vez que consegue comprometer um site.

Para piorar as coisas, o malware também foi projetado para percorrer o servidor de hospedagem e infectar outros sites do WordPress que encontrar.

Embora os atores de ameaças usualmente aproveitem as vulnerabilidades de segurança do CMS que afetam a plataforma WordPress para se infiltrar em sites e injetar código malicioso, no caso do WP-VCD, os webmasters são os que espalham a infecção para seus sites.

Isso acontece porque o malware é disseminado usando cópias piratas (também conhecidas como nulas) de temas e plug-ins do WordPress atualmente distribuídos por uma grande rede de sites maliciosos.

Esses geralmente aparecem nos primeiros resultados dos resultados de pesquisa do Google e levam as fontes legítimas de plug-ins do WordPress para baixo da página.

Agora, os atores de ameaças por trás do malware WordPress WP-VCD começaram a distribuir versões modificadas dos plug-ins do Coronavirus que injetam uma backdoor em um site.

Malware do WordPress é distribuído através de plugins de Coronavírus

Como dito antes, a família WP-VCD de infecções do WordPress é distribuída como plug-in WordPress anulado ou pirateado que contém código modificado que injeta um backdoor em todos os temas instalados no blog, além de vários arquivos PHP.

Depois que um site WordPress é comprometido pelo WP-VCD, o malware tenta comprometer outros sites no mesmo host compartilhado e se conecta rotineiramente de volta ao servidor de comando e controle para receber novas instruções de execução.

   

O objetivo final desses plugins maliciosos é usar o site WordPress comprometido para exibir pop-ups ou realizar redirecionamentos que geram receita para os atores da ameaça.

Recentemente, o MalwareHunterTeam compartilhou algumas amostras de plugins do WordPress com o site BleepingComputer ,que estavam sendo sinalizados no VirusTotal como ‘Trojan.WordPress.Backdoor.A’.

Esses plugins do WordPress e outro que encontramos foram arquivos zip contendo o que pareciam ser plugins comerciais legítimos chamados “COVID-19 Coronavirus – Live Map WordPress Plugin”, gráficos de previsão de propagação do Coronavirus “e” Covid-19 “.

Depois que o site BleepingComputer os analisou, descobriu que todos esses plug-ins continham um arquivo ‘class.plugin-modules.php’ que continha código malicioso e várias sequências codificadas em base64 que são comumente associadas aos plug-ins WP-VCD.

Após a instalação do plug-in, ele pegará o código PHP codificado em base64 na variável WP_CD_CODE mostrada acima e o salvará no arquivo /wp-includes/wp-vcd.php.
 
Em seguida, ele anexa o código ao arquivo /wp-includes/post.php para carregar automaticamente o wp-vcd.php toda vez que uma página é carregada no site.

O plug-in também pesquisará todos os temas instalados e adicionará outro código PHP codificado em base64 a cada arquivo functions.php do tema.

Com essas modificações de arquivo, o código WP-VCD agora se conectará novamente ao servidor C2 para receber comandos a serem executados no host do WordPress.

Esses comandos geralmente são usados ​​para injetar código que exibe anúncios maliciosos no site ou executar redirecionamentos para outros sites.

Como proteger o seu site

Como o malware WP-VCD é espalhado por plugins do WordPress pirateados, a melhor maneira de evitar a infecção do site é não baixar nenhum plug-in de sites não autorizados.
 
Como os plug-ins são facilmente modificados por qualquer pessoa com um pouco de conhecimento em PHP, o download e a instalação de plug-ins pirateados é sempre um risco.

Nesse ambiente, estamos vendo um aumento ainda maior nas campanhas maliciosas, aproveitando a ansiedade e as preocupações da pandemia de Coronavírus para distribuir ataques de malware e phishing.

É altamente recomendável que você instale apenas plug-ins do WordPress a partir de sites autorizados e não instale nenhum plug-in pirateado, pois há uma boa chance de seu site ser comprometido.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Compartilhe:
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.