Quase duas mil plataformas baseadas no WordPress foram recentemente infetadas por um novo tipo de malware que recorre aos comentários de perfis na comunidade da Steam para ocultar as suas operações. Segundo a análise partilhada pela equipa de segurança da GoDaddy, os atacantes estão a usar caracteres invisíveis para dissimular os comandos de controlo e contornar os sistemas de deteção tradicionais.
Como funciona a camuflagem através de caracteres invisíveis
A campanha maliciosa, que começou a ser investigada em julho de 2025, já comprometeu cerca de 1980 sites. Os investigadores acreditam que as invasões iniciais podem ocorrer de várias formas, desde o uso de credenciais roubadas e falhas em plugins ou temas, até ataques mais complexos à cadeia de abastecimento. Uma vez instalado, o código malicioso faz com que o site comunique com perfis específicos da plataforma de jogos e extraia texto de comentários que parecem perfeitamente inofensivos.
O verdadeiro perigo reside em seis caracteres Unicode invisíveis que estão embutidos nesses mesmos textos. O descodificador do malware ignora qualquer letra ou símbolo visível e converte apenas os espaços ocultos em números correspondentes, reconstruindo depois a informação num formato binário. Este método permite construir ligações para scripts externos de forma furtiva, usando o texto normal apenas como uma fachada.
Injeção de código e mecanismos de defesa
Após a descodificação bem-sucedida, o sistema gera um endereço externo que distribui código JavaScript infetado por todas as páginas públicas do site afetado. Para evitar levantar suspeitas durante inspeções manuais, os ficheiros maliciosos adotam nomes que imitam bibliotecas legítimas e comuns na construção de sites. Na fase final do ataque, é criada uma porta traseira (backdoor) no servidor que responde a pedidos específicos, permitindo aos piratas informáticos injetar e executar código adicional através de um simples cookie de autenticação.
A complexidade da ameaça inclui várias táticas de evasão, como a ofuscação de texto e o uso das próprias interfaces de programação nativas para se misturar com a atividade normal do servidor. Para protegerem os seus projetos, os administradores devem verificar a existência de ligações não autorizadas aos servidores da comunidade de jogadores, analisar injeções de scripts suspeitos e procurar por entradas de cache anómalas. A recomendação principal da equipa de segurança passa por restaurar uma cópia de segurança limpa anterior à data da infeção, garantindo que nenhum fragmento do código permanece ativo para reiniciar o ciclo do ataque.
Nenhum comentário
Seja o primeiro!