Os sites WordPress têm sido alvo de uma campanha maliciosa altamente ativa que os infecta com um malware chamado WP-VCD, que se esconde à vista de todos e se espalha rapidamente por todo o site.
O grupo de hackers por trás disso também se certificou de que sua carga maliciosa também é muito difícil de se livrar, uma vez que consegue comprometer um site. Para piorar as coisas, o malware também foi projetado para percorrer o servidor de hospedagem e infectar outros sites do WordPress que encontrar.
O WP-VCD é espalhado pela campanha maliciosa mais ativa que afeta os sites do WordPress ultimamente, com a equipe de inteligência de ameaças do Wordfence que analisou mais de perto a associação de “amostras de malware individuais do WP-VCD com uma maior taxa de novas infecções do que qualquer outro WordPress malware desde agosto de 2019. “
O malware também é “instalado em mais sites novos por semana do que qualquer outro malware nos últimos meses” e “a campanha não mostra sinais de desaceleração”.
Isso é notável, uma vez que o malware faz rondas há mais de dois anos, com o primeiro caso relatado publicamente de uma infecção por WP-VCD até fevereiro de 2017, e usuários relatando infecções e pedindo conselhos sobre como se livrar deles no fórum de suporte do WordPress e em vários outros lugares da Internet.
Plugins pirateados e sites comprometidos usados para distribuição
Embora os atores de ameaças usualmente aproveitem as vulnerabilidades de segurança do CMS que afetam a plataforma WordPress para se infiltrar em sites e injetar código malicioso, no caso do WP-VCD, os webmasters são os que espalham a infecção para seus sites.
Isso acontece porque o malware é disseminado usando cópias piratas (também conhecidas como nulas) de temas e plugins do WordPress atualmente distribuídos por uma grande rede de sites maliciosos. Esses geralmente aparecem nos primeiros resultados dos resultados de pesquisa do Google e levam as fontes legítimas de plug-ins do WordPress para baixo da página.
Para poder construir uma plataforma de distribuição tão eficiente que promova seus sites repletos de malware, os operadores do WP-VCD fizeram uso de extenso marketing viral por meio de truques de SEO black hat como backlink e injeção de palavras-chave nos sites comprometidos.
“Essa funcionalidade fornece o combustível para o ciclo de marketing viral da campanha. O proprietário do site encontra um tema nulo devido à sua alta visibilidade do mecanismo de pesquisa e o instala no site”, concluiu o Wordfence.
Sua rede de distribuição de conteúdo nulled usa download-freethemes [.] De download como o servidor de download Central permitindo que o grupo a se espalhar a mesma versão do malware através de todos os sites de envio de malware.
Os proprietários de sites e webmasters do WordPress podem muito facilmente impedir uma infecção WP-VCD de acordo com o Wordfence, que recomenda que eles não instalem temas e plug-ins nulos. Além disso, “se você contratou um desenvolvedor para criar um novo site WordPress, verifique se eles estão fornecendo todo o conteúdo com responsabilidade”.
O Wordfence também fornece um guia de limpeza de sites para proprietários de sites já infectados e um procedimento detalhado sobre como proteger sites WordPress para evitar futuros ataques.
Infecção por WP-VCD e monetização
“O malware WP-VCD se propaga através desse site e, potencialmente, mais se presente no mesmo ambiente de hospedagem, e injeta backlinks em todos eles. Esses backlinks direcionam ainda mais tráfego para os temas nulos infectados e o ciclo continua”.
Uma vez que o tema ou plugin pirateado seja ativado em um site WordPress, o malware executará um script do implementador que injeta uma backdoor em todos os arquivos de temas instalados e redefine os carimbos de data e hora para corresponder aos valores antes do processo de injeção para evitar a detecção.
O backdoor “pode receber instruções por meio de solicitações de entrada e de saída, dificultando o rastreamento de suas atividades” e permite que os operadores implementem códigos maliciosos em todos os sites infectados para “ativar injeções de publicidade maliciosa ou manipular os resultados dos mecanismos de pesquisa de seus sites, conforme necessário, remova-o de toda a rede simplesmente removendo o código do servidor “.
O grupo WP-VCD usa a rede de sites infectados do WordPress para marketing viral, o que lhes permite acumular rapidamente receita com anúncios.
Se o fluxo de dinheiro proveniente do desvio da receita de anúncios secar, eles podem facilmente ligar novamente a máquina de SEO black hat e aumentar seus sites de distribuição de malware no SERP do Google para redirecionar o tráfego do mecanismo de pesquisa, o que leva a que mais vítimas sejam infectadas.
O script do implementador de malware também é responsável por ligar de volta para o servidor de comando e controle (C2) e enviar aos invasores o endereço do site comprometido e a senha codificada do backdoor. O Wordfence detectou mais de cem domínios WP-VCD C2 enquanto monitorava as infecções mais recentes.
Depois que compromete totalmente um site, o implementador também recebe a tarefa de remover o código malicioso do plugin ou tema nulo instalado pelo webmaster.
“Nos bastidores, a extensa infraestrutura de comando e controle (C2) e as infecções de autocorreção permitem que os atacantes mantenham uma posição persistente nesses sites infectados”, descobriu o analista de ameaças do Wordfence, Mikey Veenstra.
Mais detalhes sobre o funcionamento interno desse malware e uma lista completa de indicadores de IOCs comprometidos, incluindo sites de distribuição de conteúdo nulo, domínios C2, domínios SEO black hat e domínios de anúncios de hélice usados na campanha, estão disponíveis no final do WP do Wordfence -VCD: O Malware instalado no seu próprio site whitepaper .
Agora que você sabe como se prevenir, o que acha de visitar nossos planos de Hospedagem WordPress para conhecer todas as soluções disponíveis? Clique em: https://www.deltaservers.com.br/hospedagem-wordpress