Wordpress

O malware GootLoader, conhecido por suas técnicas de ocultação, voltou a ser uma ameaça ativa, conforme relatado pela empresa de cibersegurança Huntress. Desde o final de outubro, foram identificadas três invasões, com duas delas comprometendo o controlador de domínio em apenas 17 horas após a infecção. O GootLoader utiliza uma abordagem inovadora, explorando os comentários em sites WordPress para entregar arquivos encriptados com chaves únicas, utilizando ofuscamento por meio de fontes WOFF2. Isso permite que o malware se esconda em arquivos que parecem legítimos, enganando os usuários.

O malware GootLoader voltou a ser uma ameaça significativa, conforme relatado pela Huntress. Desde 27 de outubro de 2025, foram observadas três infecções, com duas delas resultando em invasões diretas e comprometimento de controladores de domínio em menos de 17 horas após a infecção inicial. A nova versão do GootLoader utiliza fontes WOFF2 personalizadas para ofuscar nomes de arquivos, dificultando a análise estática. O malware explora endpoints de comentários do WordPress para entregar cargas úteis em arquivos ZIP criptografados com XOR, cada um com chaves únicas. Além disso, a técnica de modificação do arquivo ZIP permite que ele se apresente como um arquivo .TXT inofensivo em ferramentas de análise, enquanto na verdade contém um arquivo JavaScript malicioso. O payload JavaScript é projetado para implantar um backdoor chamado Supper, que permite controle remoto e proxy SOCKS5. O uso de anúncios do Google para direcionar vítimas em busca de modelos legais para sites WordPress comprometidos também foi uma tática observada. A evolução do GootLoader demonstra que os atores de ameaças não precisam de exploits sofisticados, mas sim de ferramentas bem ofuscadas que atendem a seus objetivos.

Uma falha crítica foi identificada no tema JobMonster do WordPress, que afeta mais de 5.500 sites. A vulnerabilidade, classificada como CVE-2025-5397, possui uma pontuação de gravidade de 9.8 e permite que hackers acessem contas de administrador sem a devida autenticação. A falha se torna explorável quando a função de login social está ativada, permitindo que invasores se façam passar por usuários legítimos. Para mitigar os riscos, é recomendado que os administradores atualizem imediatamente para a versão 4.8.2 do tema ou desativem a função de login social. Além disso, a autenticação em dois fatores e a troca de senhas são medidas essenciais para aumentar a segurança. A Wordfence, empresa de segurança, já registrou uma onda de ataques utilizando essa vulnerabilidade, o que destaca a necessidade urgente de ações corretivas. O WordPress tem enfrentado um aumento nas tentativas de exploração de suas vulnerabilidades, o que torna a situação ainda mais crítica para os usuários da plataforma.

Uma vulnerabilidade crítica, identificada como CVE-2025-11749, foi descoberta no plugin AI Engine do WordPress, que está ativo em mais de 100 mil sites. Com uma pontuação CVSS de 9.8, a falha permite que atacantes não autenticados recuperem um token de acesso exposto da API REST MCP, concedendo-lhes privilégios administrativos completos nos sites afetados. O problema foi relatado por Emiliano Versini através do programa de recompensas da Wordfence em 4 de outubro de 2025 e corrigido pelo desenvolvedor Jordy Meow na versão 3.1.4, lançada em 19 de outubro de 2025. A vulnerabilidade reside na integração do plugin com o Modelo de Contexto de Protocolo (MCP), que permite que sistemas de IA interajam com o WordPress. As versões até 3.1.3 não incluíram o parâmetro “show_in_index => false” durante o registro da rota REST, expondo endpoints visíveis publicamente. Os proprietários de sites afetados devem atualizar para a versão 3.1.4 ou superior e rotacionar imediatamente o token de acesso MCP para evitar acessos não autorizados.

Uma vulnerabilidade crítica foi identificada no plugin Anti-Malware Security e Brute-Force Firewall do WordPress, afetando mais de 100 mil sites globalmente. A falha, registrada como CVE-2025-11705, permite que atacantes autenticados com acesso básico leiam arquivos arbitrários nos servidores afetados, expondo dados sensíveis como configurações e credenciais de banco de dados. O problema decorre da ausência de uma verificação de autorização na função GOTMLS_ajax_scan(), que exibe resultados de varredura de malware. Apesar de mecanismos de proteção, a implementação falhou em validar corretamente as capacidades dos usuários, permitindo que contas de baixo privilégio contornassem essas salvaguardas. A vulnerabilidade foi descoberta pelo pesquisador Dmitrii Ignatyev e divulgada através do programa de recompensas da Wordfence, resultando em um patch liberado em 15 de outubro de 2025. Administradores de sites devem atualizar imediatamente para a versão 4.23.83 ou posterior para mitigar os riscos. Este incidente destaca a importância de manter versões de plugins atualizadas e monitorar avisos de segurança.

Pesquisadores de segurança da Wordfence analisaram uma nova cepa de malware que utiliza a capacidade de funções variáveis do PHP e cookies para obfuscação sofisticada, dificultando a detecção. Embora a técnica não seja nova, ela evolui constantemente e é prevalente em ataques direcionados a ambientes WordPress. Em setembro de 2025, foram registradas mais de 30.000 detecções desse tipo de malware, todas bloqueadas pelas assinaturas de malware da Wordfence.

O malware se aproveita da funcionalidade de ‘funções variáveis’ do PHP, permitindo que nomes de funções sejam armazenados em variáveis e executados dinamicamente. Isso facilita a execução de comandos arbitrários, tornando a detecção mais difícil, especialmente quando os nomes das funções são construídos de forma dinâmica. Além disso, a análise revelou que esses malwares frequentemente utilizam cookies para acionar a execução de scripts, dependendo da presença de um número específico de cookies e marcadores.

Um recente relatório do Google Threat Intelligence Group (GTIG) revelou que mais de 14.000 sites WordPress foram comprometidos por um grupo de hackers conhecido como UNC5142, que operou entre o final de 2023 e julho de 2025. Este grupo utilizou vulnerabilidades em plugins e temas para implantar um downloader JavaScript chamado CLEARSHOT, que facilitava a distribuição de malware. O uso de tecnologia blockchain para armazenar partes da infraestrutura do ataque aumentou a resiliência do grupo e dificultou as operações de remoção. O malware era distribuído através de páginas de phishing que induziam os usuários a executar comandos maliciosos em seus sistemas, utilizando a técnica de engenharia social chamada ClickFix. As páginas de destino eram frequentemente hospedadas em servidores da Cloudflare e acessadas em formato criptografado, complicando ainda mais a detecção e mitigação do ataque. A combinação de técnicas de ofuscação e a utilização de blockchain tornam este incidente um alerta significativo para a segurança cibernética, especialmente para organizações que utilizam WordPress.

O grupo de ameaças UNC5142, motivado financeiramente, tem explorado contratos inteligentes de blockchain para disseminar malwares como Atomic, Lumma e Vidar, visando sistemas Windows e macOS. Segundo o Google Threat Intelligence Group, essa técnica, chamada ‘EtherHiding’, permite que o código malicioso seja ocultado em blockchains públicas, como a BNB Smart Chain. Desde junho de 2025, cerca de 14.000 páginas da web com JavaScript injetado foram identificadas, indicando um ataque indiscriminado a sites WordPress vulneráveis. O ataque utiliza um downloader JavaScript chamado CLEARSHORT, que baixa o malware em várias etapas, utilizando contratos inteligentes para buscar páginas de aterrissagem maliciosas. As vítimas são induzidas a executar comandos que instalam o malware em seus sistemas. A evolução das táticas do grupo inclui uma arquitetura de três contratos inteligentes, permitindo atualizações rápidas e maior resistência a ações de mitigação. Embora não tenha sido detectada atividade do UNC5142 desde julho de 2025, a técnica de abuso de blockchain representa um risco significativo para a segurança cibernética, especialmente em um cenário onde a tecnologia Web3 está em ascensão.

Uma vulnerabilidade crítica, identificada como CVE-2025-5947, está sendo explorada ativamente por agentes maliciosos, afetando o tema WordPress Service Finder. Essa falha de segurança permite que atacantes não autenticados acessem qualquer conta de usuário, incluindo administradores, comprometendo o controle de sites vulneráveis. A vulnerabilidade se origina de uma falha de validação do valor do cookie do usuário durante uma função de troca de conta, permitindo que um invasor se logue como qualquer usuário. O problema afeta todas as versões do tema até a 6.0 e foi corrigido em 17 de julho de 2025, com a liberação da versão 6.1. Desde 1º de agosto de 2025, foram detectadas mais de 13.800 tentativas de exploração, embora a taxa de sucesso ainda não seja clara. Administradores de sites são aconselhados a auditar suas plataformas em busca de atividades suspeitas e garantir que todos os plugins e temas estejam atualizados.

Pesquisadores de cibersegurança alertam sobre uma campanha maliciosa que visa sites WordPress, injetando JavaScript malicioso para redirecionar usuários a sites suspeitos. A empresa de segurança Sucuri iniciou uma investigação após um de seus clientes relatar que seu site WordPress estava servindo conteúdo JavaScript de terceiros. Os atacantes modificaram um arquivo relacionado ao tema (‘functions.php’), inserindo código que faz referência ao Google Ads para evitar detecção. O código atua como um carregador remoto, enviando requisições HTTP para o domínio ‘brazilc[.]com’, que responde com um payload dinâmico. Este payload inclui um arquivo JavaScript hospedado em ‘porsasystem[.]com’, que realiza redirecionamentos, e um iframe oculto que imita ativos legítimos do Cloudflare. Além disso, um novo kit de phishing, chamado IUAM ClickFix Generator, permite que atacantes criem páginas de phishing personalizáveis, aumentando a eficácia dos ataques. A técnica de ‘cache smuggling’ também foi identificada, permitindo que scripts maliciosos sejam armazenados no cache do navegador sem a necessidade de downloads explícitos. A situação destaca a importância de manter sites WordPress seguros e atualizados, além de reforçar a necessidade de senhas fortes e monitoramento constante.

Uma recente campanha de malware tem comprometido sites WordPress ao injetar funções PHP maliciosas que carregam JavaScript controlado por atacantes, afetando a sessão de todos os visitantes. A violação foi identificada em um pequeno trecho de código adicionado ao arquivo functions.php do tema ativo, mostrando como pequenas modificações podem ter um grande impacto. O código injetado utiliza hooks do WordPress para ser executado em cada carregamento de página, contatando silenciosamente um servidor de comando e controle para baixar cargas maliciosas.

Pesquisadores de cibersegurança descobriram uma campanha sofisticada de malware direcionada ao WordPress, que utiliza dois arquivos backdoor complementares para garantir acesso administrativo persistente a sites comprometidos. O primeiro componente, disfarçado como um plugin legítimo chamado ‘DebugMaster Pro’, cria uma conta de administrador não autorizada com credenciais fixas. Este malware oculta sua presença removendo-se das listagens de plugins e escondendo a nova conta de administrador. O segundo componente, um script chamado ‘wp-user.php’, atua como um mecanismo de segurança que monitora a conta de administrador criada, recriando-a sempre que for removida, garantindo assim o acesso contínuo. Os especialistas recomendam que os administradores de sites WordPress realizem verificações de integridade de arquivos, auditem contas de usuários e implementem sistemas de monitoramento de arquivos para detectar e mitigar essa ameaça. A descoberta ressalta a importância de varreduras de segurança regulares, que devem incluir componentes disfarçados que imitam funcionalidades legítimas do WordPress.

Uma nova campanha de cibercrime, chamada ShadowCaptcha, foi identificada em agosto de 2025, explorando mais de 100 sites WordPress comprometidos. Os atacantes redirecionam visitantes para páginas falsas de verificação CAPTCHA, utilizando táticas de engenharia social para instalar malware, incluindo ladrões de informações, ransomware e mineradores de criptomoedas. A campanha combina engenharia social, uso de binários legítimos e entrega de payloads em múltiplas etapas, visando coletar dados sensíveis e gerar lucros ilícitos. Os ataques começam com a injeção de código JavaScript malicioso em sites WordPress, levando os usuários a páginas falsas que imitam serviços como Cloudflare ou Google. Dependendo das instruções exibidas, os usuários podem ser induzidos a executar comandos maliciosos que resultam na instalação de ransomware ou ladrões de dados. A maioria dos sites afetados está localizada em países como Brasil, Austrália e Itália, e os atacantes provavelmente exploraram vulnerabilidades conhecidas em plugins do WordPress. Para mitigar os riscos, é crucial treinar os usuários sobre campanhas de ClickFix, segmentar redes e manter os sites WordPress atualizados com autenticação multifatorial.

Pesquisadores de segurança da GoDaddy revelaram uma operação sofisticada de um Sistema de Direcionamento de Tráfego (TDS) que utiliza sites WordPress comprometidos para distribuir fraudes de suporte técnico desde 2017. Nomeada Help TDS, essa operação infectou cerca de 10.000 sites WordPress globalmente por meio de um plugin malicioso disfarçado de uma extensão legítima do WooCommerce. A operação se especializa na criação de alertas de segurança falsos do Microsoft Windows, utilizando técnicas avançadas de manipulação de navegador para prender as vítimas em páginas de golpe. Esses alertas falsos empregam funções JavaScript em tela cheia para ocultar elementos de navegação e implementar mecanismos de prevenção de saída, criando a ilusão de avisos de segurança legítimos. O plugin malicioso, denominado ‘woocommerce_inputs’, evoluiu rapidamente, introduzindo funcionalidades de coleta de credenciais e filtragem avançada de tráfego. A versão mais recente, 2.0.0, apresenta um design orientado a objetos e capacidades de atualização autônoma, permitindo que os atacantes mantenham operações persistentes. A operação exemplifica a evolução dos serviços cibernéticos criminosos, que se tornam cada vez mais sofisticados e orientados a serviços, maximizando as taxas de conversão de vítimas por meio de técnicas comprovadas de engenharia social.