Mixplano

Tecnologia

Encurtadores de URL falsos redirecionam milhares de sites invadidos em campanha de fraude

O vilão seria um vírus “misterioso” que desvia o tráfego de sites construídos com WordPress via campanha do Google AdSense
Sites WordPress

Um malware “misterioso” já teria infectado mais de 11 mil sites com o sistema de gerenciamento de conteúdo WordPress, redirecionando o tráfego dos usuários para páginas potencialmente perigosas via campanha do Google AdSense. A praga faria parte de uma campanha de manipulação de visualizações de anúncios, com os domínios visitados estando cheios de propagandas cuja renda é obtida pelos criminosos.

De acordo com os especialistas em segurança da Sucuri, que revelaram a onda de contaminações, ainda não se sabe ao certo que vulnerabilidade levou à sequência de contaminações. A possibilidade é de se tratar de uma variante ainda oculta de um malware conhecido por atacar a plataforma WordPress, sendo disseminado de forma automatizada a partir de brechas de segurança ainda desconhecidas em plug-ins ou na própria plataforma de gerenciamento de conteúdo.

Estratégia do vírus

Seja como for, a praga leva os visitantes de um determinado site a outro, controlado pelos criminosos desde sua criação até contas de anúncios. O vírus ainda usaria métodos de ofuscação para se manter oculto de análises de segurança, o que faz com que seu funcionamento ainda seja um mistério para os pesquisadores em segurança, enquanto ele permanece oculto e realizando suas ações no domínio comprometido.

Como forma de se manter escondido, o vírus realiza diferentes tarefas. Caso detecte que o acesso a uma página contaminada está sendo feito por um usuário logado do próprio site, principalmente um administrador, o redirecionamento não acontece. Além disso, usuários que visitaram páginas comprometidas nas seis horas anteriores ao novo acesso também são excluídos do comprometimento.

O redirecionamento acontece a partir de um script PHP que fica oculto em arquivos legítimos que compõem as páginas, como index, signup, activate e cron, essenciais para funcionamento do sistema de gerenciamento. Em alguns casos, até mesmo o header dos sites com WordPress é contaminado, fazendo com que os domínios sejam reinfectados mesmo após uma reinicialização do servidor e varredura de segurança; os códigos maliciosos, também, são criptografados, reduzindo ainda mais a chance de localização.

Confira nossos planos de hospedagem de sites, todos já vêm com o certificado de segurança (SSL), que dificulta a invasão de vírus e hackers

De acordo com a Sucuri, parece haver um interesse aumentado dos cibercriminosos em comprometer sites com WordPress para realizar direcionamentos — em novembro, por exemplo, a empresa revelou uma campanha que chegou a contaminar mais de 15 mil páginas. A diferença, desta vez, é que há todo um trabalho envolvido na ocultação, o que faz com que os especialistas deem o alerta antes mesmo de saberem exatamente com o que estão lidando.

Segundo eles, a melhor forma de se proteger é manter plug-ins, sistemas e o próprio WordPress sempre atualizados, enquanto plataformas de administração devem usar senhas complexas e estarem protegidas com autenticação em duas etapas. Sistemas de monitoramento de tráfego, principalmente no que toca a jornada dos usuários, também pode ajudar a identificar possíveis redirecionamentos indevidos, o principal sinal de contaminação neste caso.

Fonte: Sucuri

Gostou do conteúdo? Assine nossa newsletter

Temas relacionados