Há alguns dias, a empresa Wordfence, lider de segurança do WordPress, identificou um aumento repentino de malwares surgindo na plataforma de hospedagem gerenciada da GoDaddy. De acordo com o levantado pela empresa, isso inclui as marcas MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet e Host Europe Managed WordPress.
O aumento nos ataques aconteceu a partir de 11 de março, ou seja, 5 dias atrás. Esses sites afetados têm um backdoor quase idêntico anexado ao arquivo wp-config.php. Dos 298 sites que foram infectados recentemente por esse backdoor, pelo menos 281 estão hospedados no GoDaddy.
Mecanismo de Operação
O Wordfence aponta que, se uma solicitação com um cookie definido para um determinado valor codificado em base64 for enviada ao site, o backdoor baixará um modelo de link de spam de um domínio de comando e controle (C2) e o salvará em um arquivo codificado com um nome definido para o hash MD5 do domínio do site infectado. Por exemplo, o arquivo codificado para ‘examplesite.com’ seria nomeado 8c14bd67a49c34807b57202eb549e461, que é um hash desse domínio.
“Embora o domínio C2 tenha um TLD russo, não temos indicação de que essa campanha de ataque tenha motivação política ou esteja relacionada à invasão russa da Ucrânia”. A empresa frisa que, apesar de o domínio exibir uma página da Web em branco, em 2019 ela estava servindo o que parece ser conteúdo adulto, possivelmente com um ângulo de marketing de afiliados.
O arquivo codificado que é baixado contém um modelo baseado no código-fonte do site infectado, mas com links para spam adicionados. Este modelo de link de spam está configurado para ser exibido sempre que o site for acessado.
Malware ainda não determinado
A Wordfence disse que ainda não determinou o malware utilizado nessa campanha. No entanto, aponta que, “no ano passado, a GoDaddy divulgou que um invasor desconhecido obteve acesso não autorizado ao sistema usado para provisionar os sites Managed WordPress da empresa, impactando até 1,2 milhão de seus clientes WordPress”.
Se seu site estiver hospedado na plataforma WordPress gerenciada da GoDaddy, o que você deve fazer?
Se o seu site estiver hospedado na plataforma WordPress gerenciada da GoDaddy, a recomendação dada pela Wordfence é que você “verifique manualmente o arquivo wp-config.php do seu site ou execute uma verificação com uma solução de detecção de malware, como o verificador gratuito Wordfence, para garantir que seu site não seja infectado“.
Caso seu site esteja infectado, “você precisará limpá-lo e também poderá ser necessário remover os resultados do mecanismo de pesquisa de spam”. A Wordfence oferece recursos para que você execute essa limpeza. No entanto, se você quiser que a equipe de resposta a incidentes da empresa limpe seu site para você, você pode se inscrever no Wordfence Care e eles cuidam disso para você.
A recomendação é que os donos de sites afetados ajam o mais rápido possível, “porque os resultados maliciosos do mecanismo de pesquisa podem levar muito tempo para se recuperar, e agir rápido pode ajudar a minimizar os danos”.