Nos últimos meses, mais de 6.000 sites WordPress foram invadidos para a instalação de plugins maliciosos, que utilizam banners falsos de erros e atualizações para disseminar infostealers, programas que roubam dados confidenciais dos usuários. Esse tipo de malware, que rouba informações, tem crescido de maneira alarmante, colocando em risco empresas e indivíduos em todo o mundo.
Desde 2023, uma campanha conhecida como ClearFake vem utilizando sites comprometidos para exibir atualizações falsas de navegadores, que instalam infostealers nos dispositivos dos visitantes. Em 2024, uma nova campanha, chamada ClickFix, foi detectada, trazendo características semelhantes, mas disfarçando-se de mensagens de erro de software que, ao serem “corrigidas”, executam scripts maliciosos.
A ClickFix tem sido amplamente usada para enganar usuários com falsas mensagens de erro em páginas populares como Google Chrome, Facebook, Google Meet e até mesmo captchas. Os criminosos estão aproveitando-se de sites WordPress vulneráveis para distribuir esses plugins maliciosos.
Aumento de ataques ao WordPress
A GoDaddy reportou recentemente que os hackers por trás das campanhas ClearFake/ClickFix comprometeram mais de 6.000 sites WordPress, instalando plugins maliciosos que simulam alertas de atualização e erros para enganar os usuários. Esses plugins muitas vezes imitam nomes de plugins legítimos, como Wordfence Security e LiteSpeed Cache, ou utilizam nomes genéricos que parecem inofensivos aos administradores dos sites.
Alguns dos plugins maliciosos detectados entre junho e setembro de 2024 incluem:
- LiteSpeed Cache Clássico;
- Segurança Wordfence Clássica;
- Rank Booster Pro;
- Melhorador de SEO do Google.
Esses plugins são projetados para injetar scripts JavaScript maliciosos nos sites comprometidos, o que permite o carregamento de mais malware, como o ClickFix e ClearFake. Esses scripts são armazenados em contratos inteligentes da Binance Smart Chain e, ao serem ativados, exibem banners falsos de atualização que visam enganar os visitantes.
Como os hackers agem
De acordo com análises da GoDaddy, os invasores estão utilizando credenciais de administradores roubadas para automatizar a instalação dos plugins maliciosos. Em vez de passar pela página de login tradicional, os hackers conseguem acessar os sites diretamente por meio de solicitações HTTP POST. Essas credenciais podem ser obtidas através de ataques de força bruta, phishing ou infostealers já presentes nos sistemas.
Se você opera um site WordPress e tem observado relatórios de alertas falsos sendo exibidos, é crucial revisar sua lista de plugins e remover imediatamente qualquer um que você não tenha instalado. Além disso, todos os administradores devem redefinir suas senhas para combinações exclusivas e seguras.