Os sites baseados em WordPress enfrentam uma nova ameaça de segurança, conforme revelado por investigadores da Wordfence. Uma campanha de malware está a utilizar plugins maliciosos, habilmente disfarçados de ferramentas de segurança, para enganar os administradores e obter controlo sobre as instalações.
Este malware não só garante aos atacantes acesso persistente e a capacidade de executar código remotamente, como também consegue injetar JavaScript malicioso nos sites comprometidos. Para agravar a situação, o plugin oculta-se do painel de administração do WordPress, dificultando a sua deteção.
Como funciona este novo malware?
A descoberta inicial ocorreu no final de janeiro de 2025, quando a equipa da Wordfence, durante a limpeza de um site infetado, encontrou um ficheiro wp-cron.php modificado. Este ficheiro era responsável por criar e ativar programaticamente um plugin malicioso, frequentemente denominado WP-antymalwary-bot.php.
A persistência é uma característica chave desta ameaça. Se o administrador do site detetar e apagar o plugin malicioso, o ficheiro wp-cron.php modificado irá recriá-lo e reativá-lo automaticamente na próxima visita ao site, garantindo que a infeção perdura.
Para além do nome WP-antymalwary-bot.php, foram identificadas outras designações para este plugin fraudulento:
addons.phpwpconsole.phpwp-performance-booster.phpscr.php
O que o malware permite aos atacantes?
Uma vez ativo no servidor, o plugin realiza uma verificação do seu próprio estado e, de seguida, concede acesso de administrador aos atacantes. Isto é conseguido através de uma função específica (emergency_login_all_admins) que utiliza um parâmetro GET (emergency_login). Se a palavra-passe correta for fornecida em texto simples, o atacante consegue autenticar-se como o primeiro utilizador administrador encontrado na base de dados do site.
O malware vai mais longe, registando uma rota de API REST personalizada que não exige autenticação. Através desta rota, os atacantes podem:
- Injetar código PHP arbitrário nos ficheiros
header.phpde todos os temas ativos. - Limpar caches de plugins (possivelmente para forçar a execução de código malicioso).
- Executar outros comandos enviados através de um parâmetro POST.
Versões mais recentes deste malware demonstraram ainda a capacidade de injetar código JavaScript (descodificado a partir de base64) diretamente na secção head do código HTML do site. O objetivo mais provável desta injeção é exibir anúncios indesejados, conteúdo de spam ou redirecionar os visitantes para sites perigosos ou fraudulentos.
Pistas sobre a origem e vetor de infeção
Embora a identidade dos atacantes permaneça desconhecida, a Wordfence observou que o servidor de comando e controlo (C2) utilizado na campanha está localizado em Chipre. Foram também notadas semelhanças com um ataque à cadeia de abastecimento (supply chain attack) ocorrido em junho de 2024.
Quanto ao método de infeção inicial, a falta de logs detalhados do servidor impediu uma confirmação exata. No entanto, a hipótese mais forte avançada pela Wordfence aponta para o comprometimento prévio da conta de alojamento do site ou das credenciais de acesso FTP.
Como detetar e proteger o seu site WordPress?
Os administradores de sites WordPress devem estar vigilantes. Para além de procurar pelos nomes de ficheiros de plugins suspeitos listados anteriormente, é crucial inspecionar os ficheiros wp-cron.php e header.php em busca de quaisquer modificações inesperadas ou adições de código desconhecido.
A análise dos logs de acesso ao servidor é outra medida importante. A presença de entradas contendo termos como emergency_login, check_plugin, urlchange ou key deve ser considerada um forte sinal de alerta, justificando uma investigação mais aprofundada para despistar uma possível infeção.
Esta nova campanha de malware reforça a necessidade constante de manter as instalações WordPress atualizadas, utilizar apenas temas e plugins de fontes confiáveis e implementar boas práticas de segurança, incluindo a monitorização regular da integridade dos ficheiros e dos logs do servidor.
Nenhum comentário
Seja o primeiro!