Um malware “misterioso” já teria infectado mais de 11 mil sites com o sistema de gerenciamento de conteúdo WordPress, redirecionando o tráfego dos usuários para páginas potencialmente perigosas via campanha do Google AdSense. A praga faria parte de uma campanha de manipulação de visualizações de anúncios, com os domínios visitados estando cheios de propagandas cuja renda é obtida pelos criminosos.
De acordo com os especialistas em segurança da Sucuri, que revelaram a onda de contaminações, ainda não se sabe ao certo que vulnerabilidade levou à sequência de contaminações. A possibilidade é de se tratar de uma variante ainda oculta de um malware conhecido por atacar a plataforma WordPress, sendo disseminado de forma automatizada a partir de brechas de segurança ainda desconhecidas em plug-ins ou na própria plataforma de gerenciamento de conteúdo.
Estratégia do vírus
Seja como for, a praga leva os visitantes de um determinado site a outro, controlado pelos criminosos desde sua criação até contas de anúncios. O vírus ainda usaria métodos de ofuscação para se manter oculto de análises de segurança, o que faz com que seu funcionamento ainda seja um mistério para os pesquisadores em segurança, enquanto ele permanece oculto e realizando suas ações no domínio comprometido.
Como forma de se manter escondido, o vírus realiza diferentes tarefas. Caso detecte que o acesso a uma página contaminada está sendo feito por um usuário logado do próprio site, principalmente um administrador, o redirecionamento não acontece. Além disso, usuários que visitaram páginas comprometidas nas seis horas anteriores ao novo acesso também são excluídos do comprometimento.
O redirecionamento acontece a partir de um script PHP que fica oculto em arquivos legítimos que compõem as páginas, como index, signup, activate e cron, essenciais para funcionamento do sistema de gerenciamento. Em alguns casos, até mesmo o header dos sites com WordPress é contaminado, fazendo com que os domínios sejam reinfectados mesmo após uma reinicialização do servidor e varredura de segurança; os códigos maliciosos, também, são criptografados, reduzindo ainda mais a chance de localização.
De acordo com a Sucuri, parece haver um interesse aumentado dos cibercriminosos em comprometer sites com WordPress para realizar direcionamentos — em novembro, por exemplo, a empresa revelou uma campanha que chegou a contaminar mais de 15 mil páginas. A diferença, desta vez, é que há todo um trabalho envolvido na ocultação, o que faz com que os especialistas deem o alerta antes mesmo de saberem exatamente com o que estão lidando.
Segundo eles, a melhor forma de se proteger é manter plug-ins, sistemas e o próprio WordPress sempre atualizados, enquanto plataformas de administração devem usar senhas complexas e estarem protegidas com autenticação em duas etapas. Sistemas de monitoramento de tráfego, principalmente no que toca a jornada dos usuários, também pode ajudar a identificar possíveis redirecionamentos indevidos, o principal sinal de contaminação neste caso.
Fonte: Sucuri