Uma equipe de pesquisadores da empresa de segurança Sucuri Security descobriu que mais de 2.000 sites da plataforma WordPress estão infectados com um script malicioso. O script pode injetar no navegador da vítima um keylogger para roubar senhas e dados privados, ou o malware CoinHive para usar os recursos do equipamento do usuário clandestinamente para minerar criptografias – a exemplo do Bitcoin.
De acordo com os analistas do Sucuri, é um malware chamado Cloudflare[.]Solutions que afetou cerca de 5.500 sites WordPress, originalmente identificados em abril passado. O vírus evoluiu desde que foi descoberto e se espalhou para novos domínios. Além disso, “a taxa de reinfecção mostra que existem muitos sites que não foram adequadamente protegidos após a infecção original”, como Denis Sinegubko explica em uma publicação no blog da empresa de segurança.
O Cloudflare[.]Solutions foi eliminado em dezembro passado após a publicação do último relatório do Sucuri, mas a campanha não terminou. Poucos dias depois, os hackers registraram vários novos domínios para continuar a atuar, incluindo cdjs[.]online, que de acordo com o mecanismo de busca por código fonte PubliccWWW, atualmente infecta 146 páginas da Web; cdns [.]ws, que afeta 145 sites ; e, finalmente, msdns[.]online, que já infectou mais de 1.800 portais, sendo a maioria deles reinfecções de sites previamente comprometidos. Além disso, eles acreditam que uma boa parte das páginas afetadas ainda não foram indexadas, então pode haver muito mais afetados.
Para perpetrar o ataque, os cibercriminosos ingerem scripts maliciosos em sites do WordPress com segurança fraca ou obsoleta. Por exemplo, o script cdjs[.]online é injetado em um banco de dados WordPress ou no arquivo functions.php do tema. Uma vez que uma web for infectada, o script envia os dados que os usuários inserem em todos os formulários, incluindo o login, e usa os recursos do computador da vítima para minerar criptomoedas.
De acordo com os pesquisadores que detectaram a campanha, para limpar um site do WordPress que foi comprometido, é necessário remover o código malicioso nas funções-php do tema, vasculhar a tabela wp_posts para detectar possíveis injeções, alterar as senhas do WordPress e atualizar todo o software do servidor.
Caso você tenha um site e não saiba como gerenciar a segurança do mesmo, opte por um curso de wordpress para não ficar vulnerável a este tipo de ataque.
