Ataques cibernéticos

Ataques de malware exploram vulnerabilidades em sites WordPress

Ataques de malware associados ao domínio wp3.xyz comprometeram mais de 5.000 sites WordPress, adicionando administradores desonestos e roubando dados confidenciais por meio de plugins maliciosos.

Logotipo do WordPress em tons de preto e cinza, sobre um fundo escuro com várias sombras do mesmo símbolo

Uma recente campanha de malware foi identificada comprometendo mais de 5.000 sites WordPress, criando administradores desonestos e instalando plugins maliciosos. Essa ação foi descoberta por pesquisadores da empresa de segurança c/side durante uma análise de resposta a incidentes. O domínio wp3[.]xyz foi utilizado como base para exfiltração de dados, mas o vetor inicial de infecção ainda não foi identificado.

Malware wp3.xyz compromete segurança de mais de 5.000 sites WordPress

Imagem com a logomarca do WordPress com fundo vermelho

Criação de administradores desonestos e roubo de dados

Após comprometer os sites, o malware carrega um script malicioso diretamente do domínio wp3[.]xyz. Esse script é responsável por criar uma conta de administrador desonesta chamada wpx_admin, utilizando credenciais presentes no código malicioso.

Além disso, o script baixa e ativa um plugin chamado plugin.php, projetado para capturar informações sensíveis, como:

  • Credenciais de login;
  • Logs administrativos;
  • Outros dados confidenciais.

Essas informações são enviadas aos servidores dos invasores de forma disfarçada, simulando uma requisição de imagem.

Etapas do ataque

O ataque é altamente sofisticado e segue um processo estruturado que inclui:

  1. Criação e registro da conta de administrador desonesta;
  2. Instalação do plugin malicioso para captura de dados;
  3. Verificação do status da operação para garantir que o ataque foi bem-sucedido.

Como proteger seu site WordPress

A empresa c/side recomenda algumas medidas essenciais para bloquear esse tipo de ataque:

  1. Bloquear o domínio wp3[.]xyz: Utilize firewalls e ferramentas de segurança para impedir conexões com esse domínio.
  2. Revisar contas e plugins instalados: Verifique regularmente a lista de administradores e os plugins ativos no seu site, removendo imediatamente quaisquer itens não reconhecidos.
  3. Fortalecer proteções CSRF: Implemente tokens exclusivos com validade curta e valide as requisições no lado do servidor.
  4. Ativar autenticação multifator (MFA): Essa camada adicional de segurança dificulta o acesso de invasores, mesmo que credenciais sejam comprometidas.

Manter a segurança do WordPress exige ações preventivas e monitoramento contínuo. Aplicar as melhores práticas pode evitar que o seu site se torne vítima de ataques semelhantes.

Acesse a versão completa
Sair da versão mobile