Um grupo de piratas informáticos comprometeu o sistema de atualizações do popular plugin Smart Slider 3 Pro, utilizado em plataformas como o WordPress e Joomla. A versão maliciosa inclui múltiplas portas traseiras concebidas para criar utilizadores ocultos com privilégios de administrador e roubar dados sensíveis dos servidores afetados.
Segundo uma análise de segurança partilhada pela PatchStack e confirmada pela documentação oficial do Smart Slider, a falha afeta exclusivamente a versão 3.5.1.35 da variante Pro do plugin. A atualização comprometida começou a ser distribuída no dia 7 de abril, afetando potencialmente alguns dos mais de 900 mil sites que utilizam esta ferramenta de criação de elementos visuais interativos.
Ameaça silenciosa e persistência no sistema
A investigação detalha que o software malicioso funciona como um conjunto de ferramentas complexo, embutido diretamente no ficheiro principal do plugin, sem afetar o seu funcionamento normal. Os atacantes conseguem executar comandos remotamente sem necessidade de autenticação através de cabeçalhos HTTP manipulados. O código malicioso cria também um segundo acesso autenticado que permite a execução de comandos no sistema operativo e a extração automática de credenciais de acesso.
Para garantir a permanência no sistema, a ameaça atua em várias frentes. Além de criar uma conta de administrador escondida, gera um diretório específico com um plugin de uso obrigatório que se disfarça de uma ferramenta de cache legítima. Estes ficheiros carregam automaticamente, não podem ser desativados através do painel de controlo e permanecem invisíveis para os administradores do site. O ataque estende-se ainda à injeção de ficheiros PHP na estrutura central, operando independentemente da base de dados ao ler as chaves de autenticação de um ficheiro próprio, o que permite que a invasão sobreviva mesmo que as credenciais da base de dados sejam alteradas.
Medidas de mitigação para os administradores
A versão destinada ao sistema Joomla apresenta comportamentos semelhantes, instalando acessos não autorizados nas pastas de cache e meios multimédia, com o objetivo de roubar informações e acessos do site através de contas ocultas. A equipa responsável pelo desenvolvimento do plugin aconselha todos os utilizadores a restaurarem as suas plataformas para uma cópia de segurança datada de 5 de abril ou anterior, garantindo assim que a atualização maliciosa não é implementada acidentalmente devido a diferenças de fuso horário.
Caso não exista uma cópia de segurança disponível, os responsáveis recomendam a remoção imediata da versão comprometida e a instalação da atualização limpa, que se encontra atualmente na versão 3.5.1.36. É ainda aconselhado que os administradores assumam o comprometimento total da infraestrutura, o que implica eliminar utilizadores e ficheiros suspeitos, reinstalar a estrutura central dos sistemas, rodar todas as palavras-passe associadas ao alojamento, gerar novas chaves de segurança e implementar uma proteção rigorosa com autenticação de dois fatores.
Nenhum comentário
Seja o primeiro!