Backdoors WordPress

Mais de 1.000 sites WordPress comprometidos por backdoors JavaScript

Mais de 1.000 sites WordPress foram infectados com um código JavaScript malicioso que insere quatro backdoors distintos, permitindo que invasores mantenham acesso persistente. Além disso, outra campanha comprometeu mais de 35.000 sites para redirecionamento a plataformas de jogos de azar.

06/03/2025 12:30

A segurança cibernética continua sendo um desafio constante para administradores de sites WordPress, especialmente diante de ataques sofisticados que exploram vulnerabilidades em sistemas desatualizados. Recentemente, mais de 1.000 sites foram alvo de uma infecção massiva envolvendo um código JavaScript malicioso, projetado para inserir múltiplos backdoors e garantir o acesso contínuo dos invasores.

Como funciona o ataque

De acordo com a análise do pesquisador de segurança da c/side, Himanshu Anand, os invasores implementaram quatro backdoors distintos para manter diversos pontos de reentrada. Isso significa que, mesmo que um dos backdoors seja detectado e removido, os criminosos ainda podem explorar outros para retomar o controle do sistema.

Imagem com a logomarca do WordPress com fundo vermelho

O código malicioso está sendo distribuído através do domínio cdn.csyndication[.]com, com cerca de 908 sites já identificados como portadores do script comprometido.

Os quatro backdoors detectados executam diferentes funções:

Instalação de um plugin malicioso: Um complemento falso chamado “Ultra SEO Processor” é carregado no WordPress e utilizado para executar comandos remotamente.
Modificação do arquivo wp-config.php: O JavaScript injeta código malicioso diretamente no arquivo de configuração principal do WordPress.
Adição de chave SSH: Uma chave SSH controlada pelos invasores é inserida no arquivo ~/.ssh/authorized_keys, permitindo acesso remoto persistente.
Execução de comandos remotos: Um payload de gsocket[.]io é carregado, provavelmente para abrir um shell reverso e permitir controle total do sistema.

Como se proteger

Para mitigar os riscos dessa ameaça, especialistas recomendam medidas imediatas:

Remova chaves SSH não autorizadas;
Altere as credenciais de administrador do WordPress;
Monitore os logs do sistema para identificar atividades suspeitas.

Nova onda de ataques compromete 35.000 sites

Paralelamente a esse ataque, outra campanha de malware afetou mais de 35.000 sites, redirecionando visitantes para páginas de jogos de azar em chinês. Essa ameaça se espalha através de JavaScript malicioso hospedado em múltiplos domínios, incluindo:

mlbetjs[.]com
ptfafajs[.]com
zuizhongjs[.]com
jbwzzzjs[.]com
jpbkte[.]com

Os ataques parecem ter como alvo regiões onde o mandarim é amplamente falado, sugerindo um foco específico no mercado asiático.

Ameaça ao Magento

Além do WordPress, plataformas de comércio eletrônico também estão sendo visadas. Um relatório da Group-IB revelou que um agente de ameaça denominado ScreamedJungle está explorando vulnerabilidades conhecidas do Magento (como CVE-2024-34102 e CVE-2024-20720) para inserir um código JavaScript chamado Bablosoft JS em sites comprometidos. O objetivo é coletar impressões digitais dos visitantes, facilitando fraudes e ataques sofisticados.

Conclusão

A segurança digital exige atenção contínua, especialmente para administradores de sites WordPress e Magento. Atualizações regulares, monitoramento de atividades suspeitas e a remoção de acessos não autorizados são essenciais para evitar a exploração dessas vulnerabilidades.

Jardeson Márcio

Mais Notícias

Mais artigos

Ameaça cibernética

Falha crítica no Ivanti Connect Secure é explorada para disseminar malware avançado

Uma vulnerabilidade crítica (CVE-2025-22457) no Ivanti Connect Secure está sendo explorada para distribuir os malwares TRAILBLAZE e BRUSHFIRE. A falha permite execução remota de código, comprometendo a segurança dos dispositivos afetados.

Logotipo do GitHub em destaque, cercado por um fundo escuro com linhas coloridas em movimento, representando a inovação tecnológica e a dinâmica do desenvolvimento de software.

Segurança digital

GitHub reforça segurança após vazamento massivo de segredos

O GitHub aprimorou sua plataforma Advanced Security após detectar 39 milhões de segredos expostos em repositórios em 2024. As novas medidas incluem detecção avançada por IA, avaliações gratuitas e maior controle de proteção para evitar vazamentos de credenciais.

Segurança cibernética

Google corrige falha no Cloud Run que permitia acesso não autorizado a contêineres

O Google corrigiu uma vulnerabilidade no Cloud Run que permitia que invasores acessassem imagens de contêineres e injetassem código malicioso. A falha, chamada de ImageRunner, foi resolvida em janeiro de 2025, garantindo maior segurança no Google Cloud Platform.

configuracoes-confidenciais-de-wi-fi-nao-podem-ser-excluidos-de-impressoras-jato-de-tinta-canon

Falha crítica

Microsoft alerta sobre falha grave em drivers de impressora Canon

A Microsoft identificou uma vulnerabilidade crítica (CVE-2025-1268) nos drivers de impressoras Canon que pode permitir execução remota de código. A Canon já lançou correções e recomenda a atualização imediata dos drivers para mitigar riscos.

Segurança digital

Hackers exploram plugins ocultos do WordPress para espalhar malware

Hackers estão abusando do diretório mu-plugins do WordPress para esconder malware, redirecionar usuários e manipular SEO. Veja como proteger seu site.

cloudflare-diz-que-recente-interrupcao-esta-ligada-ao-incidente-de-sequestro-de-bgp

Falha crítica

Cloudflare R2: erro na rotação de credenciais causou falha global

O Cloudflare R2 sofreu uma interrupção global de 1 hora e 7 minutos devido a um erro na rotação de credenciais. A falha impactou gravação e leitura, afetando serviços dependentes. A Cloudflare implementou medidas para evitar novos incidentes.