Uma das tendências mais preocupantes em cibersegurança neste ano é a combinação entre blockchain e malware em sites WordPress. O que antes era visto como uma tecnologia de confiança e descentralização agora está sendo explorado por hackers para criar campanhas de infecção praticamente indestrutíveis. O grupo UNC5142, identificado por pesquisadores do Google Threat Intelligence Group (GTIG), está usando uma técnica inovadora chamada EtherHiding para distribuir códigos maliciosos de forma altamente resiliente.
Neste artigo, você vai entender como os hackers estão abusando da blockchain para esconder malware, como funciona a cadeia completa de infecção e, principalmente, o que administradores de sites WordPress podem fazer para se proteger. Vamos dissecar a operação do UNC5142, detalhar os estágios do ataque e mostrar por que essa abordagem marca uma nova era nas ameaças cibernéticas.
Segundo o GTIG, essa tática representa uma evolução significativa no uso da Web3 como ferramenta de ataque, transformando o ecossistema descentralizado em uma infraestrutura distribuída de hospedagem para códigos maliciosos.
O que é o EtherHiding? A nova fronteira do cibercrime em sites WordPress
A técnica EtherHiding é um método sofisticado de ocultar e distribuir malware através de contratos inteligentes em uma blockchain pública, como a BNB Smart Chain (anteriormente Binance Smart Chain). Em vez de depender de servidores centralizados, os hackers armazenam instruções e códigos de ataque diretamente em contratos inteligentes, tornando impossível derrubar a infraestrutura sem afetar toda a blockchain.
Como hackers escondem código malicioso em contratos inteligentes
Um contrato inteligente é um programa autoexecutável armazenado na blockchain. Seu código é imutável, mas os dados que ele gerencia podem ser alterados. Os cibercriminosos exploram exatamente essa característica: eles armazenam dentro do contrato informações sobre onde buscar a carga maliciosa (como URLs ou scripts) e, quando precisam atualizar o ataque, modificam apenas esses dados, sem alterar o código-fonte do contrato.
Assim, mesmo que um provedor de hospedagem ou autoridade tente bloquear as URLs maliciosas, o grupo UNC5142 pode facilmente apontar o contrato para uma nova infraestrutura, mantendo o ataque ativo de forma quase permanente.
Por que a blockchain se tornou uma ferramenta para hackers?
A blockchain oferece resiliência, anonimato e resistência à censura, três elementos perfeitos para quem quer esconder atividades ilícitas. Diferente de um servidor comum, os dados em uma blockchain são replicados em milhares de nós globais, o que significa que não há um ponto central que possa ser derrubado. Além disso, o tráfego entre o site comprometido e o contrato inteligente se mistura com transações legítimas da Web3, tornando o ataque difícil de detectar por antivírus e firewalls convencionais.
Anatomia do ataque: o passo a passo da operação do UNC5142
O grupo UNC5142 criou uma campanha de infecção altamente modular e sofisticada, que começa em sites WordPress vulneráveis e termina com o roubo de informações sensíveis dos visitantes. A seguir, detalhamos cada estágio do ataque.
O ponto de partida: sites WordPress vulneráveis
Tudo começa com a exploração de falhas conhecidas em plugins, temas ou versões desatualizadas do WordPress. Os invasores injetam um pequeno script JavaScript no código da página — a primeira etapa do malware conhecido como CLEARSHORT. Esse script é responsável por iniciar a comunicação com a blockchain e buscar as próximas instruções.
Essa tática reforça a importância de manter o WordPress atualizado, já que a vasta popularidade da plataforma a torna um alvo recorrente. Segundo estimativas recentes, mais de 40% dos sites da web são baseados em WordPress — um cenário extremamente atraente para os criminosos.
CLEARSHORT e o contrato inteligente: a busca pela carga maliciosa
Após a injeção inicial, o CLEARSHORT se conecta a um contrato inteligente implantado na BNB Smart Chain. Esse contrato não contém diretamente o código do malware, mas sim dados codificados que apontam para onde o restante do ataque está hospedado.
Esse método oferece aos hackers flexibilidade total: se um domínio é bloqueado, eles simplesmente atualizam o campo de dados no contrato, apontando para um novo servidor. Assim, a infraestrutura do ataque nunca é totalmente interrompida.
A engenharia social do ‘ClickFix’: enganando a vítima
A etapa seguinte envolve uma isca visual bem elaborada, conhecida como ClickFix. Ao visitar um site WordPress comprometido, o usuário pode ver um alerta falso informando que o navegador está desatualizado e que é necessário aplicar uma correção manual.
O aviso solicita que a vítima copie e cole um comando em uma janela de execução do sistema, como o “Executar” no Windows ou o Terminal no macOS. Esse comando instala silenciosamente a carga maliciosa. Essa tática é especialmente perigosa porque explora a confiança do usuário em mensagens de atualização, algo que normalmente parece legítimo.
As cargas finais: roubando informações com Atomic, Lumma e Vidar
Uma vez executado o comando, o sistema da vítima é infectado com um stealer — uma categoria de malware projetada para roubar informações pessoais e corporativas. Entre os principais programas usados pelo UNC5142 estão:
- Atomic Stealer – Focado em roubar carteiras de criptomoedas e credenciais de contas bancárias.
- Lumma Stealer – Especialista em capturar dados de navegadores e senhas salvas.
- Vidar Stealer – Capaz de exfiltrar informações do sistema, carteiras e dados de autenticação multifator.
Essas ferramentas são vendidas como malware-as-a-service (MaaS), permitindo que mesmo cibercriminosos sem conhecimento técnico avancem em ataques complexos.
A evolução da tática: de um para três contratos inteligentes
O grupo UNC5142 não apenas criou o EtherHiding, como também aperfeiçoou sua arquitetura para aumentar a robustez das campanhas. Em vez de usar um único contrato inteligente, eles adotaram três — inspirados no padrão de design Proxy, usado em softwares legítimos.
A nova estrutura segue o modelo Roteador → Lógica → Armazenamento:
- Contrato Roteador – Recebe as solicitações e redireciona para o contrato de lógica.
- Contrato de Lógica – Define as funções que manipulam os dados (como URLs e chaves criptográficas).
- Contrato de Armazenamento – Guarda as informações que podem ser alteradas dinamicamente pelos atacantes.
Essa arquitetura modular permite atualizações rápidas e de baixo custo sem precisar criar novos contratos do zero. O resultado é uma campanha de malware praticamente imune a interrupções, capaz de se adaptar em tempo real à resposta de defensores e autoridades.
Como proteger seu site WordPress e seus sistemas
Diante da sofisticação dessa campanha, a prevenção é a única defesa eficaz. Tanto administradores quanto usuários comuns devem adotar medidas rigorosas.
Para administradores de sites WordPress
- Mantenha o WordPress, temas e plugins sempre atualizados.
A maioria das infecções ocorre devido a versões antigas com falhas conhecidas. - Implemente um Firewall de Aplicação Web (WAF).
Ferramentas como Cloudflare, Wordfence ou Sucuri ajudam a bloquear tráfego malicioso. - Realize varreduras de segurança regulares.
Use scanners que detectem alterações em arquivos, especialmente injeções de JavaScript suspeito. - Faça backups frequentes e seguros.
Guarde cópias fora do servidor principal, de preferência em locais offline. - Monitore logs e acessos administrativos.
Ataques muitas vezes começam com credenciais comprometidas.
Para usuários finais
- Desconfie de alertas de atualização de navegador que solicitam ações manuais.
Navegadores legítimos nunca pedem para executar comandos via Terminal ou “Executar”. - Baixe atualizações apenas dos sites oficiais.
Evite clicar em pop-ups ou mensagens que imitam páginas conhecidas. - Use um antivírus atualizado e proteções contra phishing.
Esses mecanismos podem bloquear scripts maliciosos antes que causem danos.
Conclusão: o futuro dos ataques e a importância da vigilância
O caso EtherHiding demonstra que os hackers estão transformando a própria estrutura da internet em uma ferramenta para seus ataques. Ao usar a blockchain como vetor de persistência, o grupo UNC5142 inaugurou uma nova categoria de ameaças que desafia os métodos tradicionais de detecção e mitigação.
Mais do que nunca, a segurança de sites WordPress depende de atualização constante, vigilância e boas práticas. Para os administradores, é hora de revisar configurações, aplicar patches e monitorar cada linha de código. Para os usuários, o alerta é claro: nem tudo o que parece uma atualização é confiável.
A conscientização é a melhor defesa — e compreender como ataques como o EtherHiding funcionam é o primeiro passo para impedir que se espalhem ainda mais.
