A segurança cibernética testemunhou recentemente uma nova ameaça: um malware sofisticado que tem como alvo sites WordPress. Esse malware se disfarça habilmente como o popular plugin de segurança WordFence, criando uma falsa sensação de segurança enquanto desabilita mecanismos essenciais de proteção e abre backdoors para invasores.

Verificação de rotina revela malware oculto do WordPress

A descoberta deste software malicioso ocorreu durante uma investigação padrão de um site WordPress comprometido. O administrador do site, inicialmente preocupado com o potencial roubo de cartão de crédito, removeu com sucesso a ameaça imediata. No entanto, uma análise mais aprofundada por especialistas em segurança da Sucuri descobriu um problema mais insidioso: um plugin malicioso projetado para contornar a detecção do WordFence e neutralizar suas funções.

Vulnerabilidade do malware WordPress WordFence
O malware do WordPress foi descoberto durante uma investigação de rotina da Sucuri em um site comprometido (Crédito da imagem)

O uso de plugins maliciosos é uma tática comum empregada por invasores para se infiltrar em sites WordPress, particularmente aqueles com contas de administrador comprometidas. Esses plugins geralmente se disfarçam sob nomes genéricos, misturando-se perfeitamente ao ambiente do site. Neste caso em particular, o plugin suspeito foi nomeado wp-engine-fast-action, um nome enganoso, pois o site não estava hospedado no WPEngine, e nenhum plugin legítimo com esse nome existe.

You Might Also Like
Elon Musk está em negociações com companhias aéreas sobre a instalação do Starlink
Elon Musk está em negociações com companhias aéreas sobre a instalação do Starlink
IPad dobrável: um gadget dobrável que parece um tablet foi patenteado pela Apple
IPad dobrável: um gadget dobrável que parece um tablet foi patenteado pela Apple
LoLdle responde hoje: Classic, Quote, Ability, Emoji, Splash (1 de fevereiro)
LoLdle responde hoje: Classic, Quote, Ability, Emoji, Splash (1 de fevereiro)

A vulnerabilidade do WordFence sob o microscópio

O WordFence, ostentando mais de 5 milhões de instalações ativas, é uma solução de segurança líder para sites WordPress. No entanto, apesar de seus recursos robustos, incluindo autenticação de dois fatores e um serviço de firewall, ele não é imune à exploração. O plugin malicioso wp-engine-fast-action continha um script que ocultava seu verdadeiro propósito usando codificação base64, concatenação e strings invertidas.

Uma vez decodificado, a intenção prejudicial do plugin ficou clara: ele renomeou o diretório do plugin WordFence para “wordfence1”, desabilitando-o efetivamente, criou um novo usuário administrador malicioso ou elevou os privilégios de um usuário existente chamado license_admin2 e serviu como um potencial vetor de reinfecção, garantindo acesso contínuo para os invasores mesmo após a remoção inicial do malware.

Um disfarce inteligente

Para evitar ainda mais a detecção, os invasores incorporaram arquivos adicionais (main.js e style.css) ao plugin. O arquivo main.js continha código JavaScript ofuscado que manipulava as configurações do WordFence visualmente, criando a ilusão de que as varreduras de segurança estavam ativas quando não estavam. O arquivo style.css ocultava a presença do plugin falso e do usuário administrador malicioso do painel do WordPress. Esse código enganoso, embora curto, era incrivelmente eficaz em enganar os usuários a acreditar que seu site era seguro.

Vulnerabilidade do malware WordPress WordFence
Os invasores usaram arquivos adicionais (main.js e style.css) para ocultar ainda mais suas atividades e criar uma ilusão de segurança (Crédito da imagem)

Como proteger seu site WordPress

Embora o WordFence continue sendo uma ferramenta de segurança valiosa para sites WordPress, este incidente destaca a importância de garantir que todos os seus recursos estejam configurados corretamente e permanecer vigilante para potenciais vulnerabilidades. A Sucuri recomenda várias medidas para mitigação eficaz de ameaças:

  • Autenticação de dois fatores (2FA): Isso adiciona uma camada extra de segurança aos logins, exigindo uma etapa de verificação adicional além de apenas um nome de usuário e senha.
  • Protegendo wp-config.php: Implementar medidas de segurança como disallow_file_edit e disallow_file_mods pode impedir modificações não autorizadas neste arquivo crítico.
  • Atualizações regulares: Manter o WordPress, os temas e os plugins atualizados garante que as vulnerabilidades conhecidas sejam corrigidas.
  • Firewall do site: Isso pode proteger contra ataques de força bruta e bloquear bots maliciosos.
    Monitoramento de integridade de arquivos: utilizar soluções de verificação externas pode ajudar a detectar alterações não autorizadas em arquivos de sites.

A descoberta deste novo malware WordPress serve como um lembrete gritante do jogo constante de gato e rato entre profissionais de segurança cibernética e criminosos cibernéticos. Lembre-se de se manter informado sobre as últimas ameaças e tomar medidas proativas para proteger seu site WordPress.

Crédito da imagem em destaque: Fikret tozak/Desaparecer

Source: Malware do WordPress se esconde como proteção do WordFence