Início Últimas notícias Segurança

Alerta digital

Falso plugin no WordPress dá controle total a hackers

Jardeson Márcio

Mão segurando o logotipo do WordPress em fundo de madeira clara

Uma campanha maliciosa recentemente descoberta está comprometendo sites WordPress por meio de um plugin disfarçado de ferramenta de segurança, permitindo que cibercriminosos assumam o controle administrativo e executem códigos maliciosos remotamente.

Alerta: plugin falso no WordPress dá acesso total a hackers

Logotipo do WordPress em tons de preto e cinza, sobre um fundo escuro com várias sombras do mesmo símbolo

Plugin camuflado oferece acesso total ao sistema

Identificado como WP-antymalwary-bot.php, o falso plugin de segurança contém funções avançadas para manter o acesso persistente ao site. Além de ocultar sua presença no painel de administração, ele consegue executar comandos remotamente e se comunicar com servidores de comando e controle (C&C).

Segundo Marco Wotschka, pesquisador da Wordfence, o plugin também espalha código malicioso em outros diretórios e injeta scripts JavaScript utilizados para exibir anúncios não autorizados, gerando receita para os invasores.

Disfarces e mutações do malware

Detectado pela primeira vez no final de janeiro de 2025, o plugin continua ativo em novas versões, sob nomes variados como:

  • complementos.php
  • wpconsole.php
  • wp-performance-booster.php
  • scr.php

Ao ser ativado, o plugin concede acesso administrativo aos criminosos, utiliza a API REST do WordPress para injetar PHP malicioso em arquivos do tema e modifica caches de plugins populares para garantir que suas alterações permaneçam no sistema.

Código persistente e reinfecção automática

Uma das técnicas mais avançadas usadas pelo malware é o uso de um script chamado wp-cron.php. Este arquivo é responsável por restaurar automaticamente o plugin malicioso mesmo após sua remoção, reativando-o na próxima visita ao site.

Códigos maliciosos e injeções sofisticadas

Evoluções recentes do ataque mostram que os criminosos estão buscando scripts JavaScript de domínios comprometidos para veicular spam ou publicidade forçada. Esses anúncios aparecem nos sites invadidos, prejudicando a experiência do usuário e, muitas vezes, roubando a receita de plataformas como o Google AdSense.

Notícias Relacionadas

Em alguns casos, foram identificadas injeções do próprio código AdSense dos invasores em sites legítimos. Com isso, eles redirecionam os ganhos de cliques e impressões para suas próprias contas.

Técnicas mais amplas atingem plataformas de e-commerce

Além do WordPress, criminosos estão mirando lojas online baseadas em Magento. Um tipo de malware JavaScript, carregado em forma de imagem GIF falsa, coleta dados de checkout como informações de cartão de crédito, logins e cookies. O código é executado por meio de um servidor proxy reverso embutido no script.

De acordo com Ben Martin, da equipe de segurança da Sucuri, o uso do GIF falso e o tráfego manipulado tornam esse ataque particularmente difícil de detectar.

Backdoors baseados em CAPTCHA e RATs em Node.js

Em uma camada ainda mais complexa de ataque, os invasores usam CAPTCHA falsos para induzir o download de backdoors em Node.js. Estes, por sua vez, capturam informações do sistema, oferecem controle remoto e operam como proxies SOCKS5, redirecionando o tráfego por redes maliciosas.

Essa tática tem sido atribuída ao sistema de distribuição de tráfego (TDS) conhecido como Kongtuke, também identificado pelos nomes 404 TDS, Chaya_002 e LandUpdate808.

Conclusão e medidas de prevenção

Com a crescente sofisticação desses ataques, é fundamental que administradores de sites WordPress:

  • Mantenham todos os plugins e temas atualizados.
  • Façam auditorias regulares nos diretórios de instalação.
  • Usem soluções de segurança confiáveis como Wordfence ou Sucuri.
  • Evitem instalar plugins de fontes não verificadas.

Além disso, recomenda-se a verificação de arquivos como wp-cron.php e a análise de mudanças não autorizadas nos temas.

Jardeson Márcio
Jardeson Márcio

Mais Notícias

Mais artigos
Logotipo do WordPress em tons de preto e cinza, sobre um fundo escuro com várias sombras do mesmo símbolo

Alerta cibernético

Plugin malicioso em WordPress simula segurança e instala backdoor oculto

Pesquisadores de segurança digital identificaram uma nova ameaça direcionada a sites WordPress que utiliza um plugin fraudulento, apresentado como ferramenta de proteção, para obter controle total sobre os sistemas das vítimas. O golpe se apoia na aparência confiável do plugin para enganar administradores e garantir persistência dentro da infraestrutura comprometida. Nova campanha maliciosa compromete sites […]
imagem de hacker

Segurança digital

Hackers aumentam ataques mirando arquivos Git expostos

A segurança digital enfrenta um novo desafio com o aumento expressivo de escaneamentos automatizados direcionados a arquivos de configuração do Git. Essas ações, realizadas por agentes maliciosos, têm como objetivo explorar repositórios expostos na internet que armazenam tokens de autenticação, credenciais sensíveis e scripts automatizados. Alerta crescente: ataques visam diretórios Git expostos com credenciais Segundo […]