🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Quase 2.000 sites WordPress foram infectados com malware que depende de comentários de perfis da comunidade Steam para ocultar dados de comando e controle (C2).
O ator da ameaça usou caracteres Unicode invisíveis para codificar uma carga útil que cria uma URL para um script malicioso. Ao aproveitar a plataforma da Valve, o invasor evita manter uma infraestrutura C2 separada e evita os métodos tradicionais de detecção.
Desde que a campanha foi descoberta pela primeira vez em julho de 2025, os engenheiros de segurança da GoDaddy encontraram malware em aproximadamente 1.980 sites WordPress.
Não está claro como os hackers violam os sites, mas os pesquisadores avaliam que o vetor de infecção inicial varia desde logins de administrador roubados ou credenciais de FTP/SFTP comprometidas até a exploração de um tema ou plugin WordPress vulnerável, ou um comprometimento da cadeia de suprimentos.
O malware de primeiro estágio plantado em um site usa carregamentos de páginas do WordPress para alcançar perfis específicos do Steam e extrair texto de comentários de aparência benigna.
No entanto, o texto inclui caracteres Unicode ocultos que ocultam cargas maliciosas, às vezes disfarçadas de arte ASCII.
Comentário malicioso do SteamFonte: GoDaddy
Os pesquisadores do GoDaddy observam em um relatório que o agente da ameaça usa seis caracteres Unicode invisíveis para a carga codificada:
Não-juntor de largura zero (U+200C)
União de largura zero (U+200D)
Aplicação de função (U+2061)
Tempos invisíveis (U+2062)
Separador invisível (U+2063)
Mais invisível (U+2064)
O decodificador ignora qualquer caractere visível e mapeia os invisíveis para um número correspondente; em seguida, ele os converte em representação binária e reconstrói bytes do fluxo binário.
"Essa codificação permite que dados binários sejam incorporados em texto de aparência normal. Os caracteres visíveis servem como camuflagem, enquanto os caracteres invisíveis carregam a carga real", diz GoDaddy.
De acordo com os pesquisadores, a carga útil decodificada é usada para construir um URL hello-mywordl[.]info servindo código JavaScript que é injetado em cada página frontend do WordPress.
Com base nos nomes dos arquivos (por exemplo, asahi-jquery-min-bundle e lodash.core.min.js), o malware recuperado está disfarçado como uma biblioteca JavaScript legítima.
O estágio final do ataque é a implementação de um backdoor que responde a solicitações POST especialmente criadas que incluem um cookie de autenticação específico. Se o “cookie tEcaKKXEsb estiver presente, o backdoor aceita código PHP codificado em base64 por meio do parâmetro POST”, explicam os pesquisadores.
Solicitação POST com o cookie corretoFonte: GoDaddy
GoDaddy descreve vários mecanismos de evasão empregados pelo malware, incluindo strings ofuscadas usando escapes octais e hexadecimais, nomes de funções aleatórios, código de registro falso desativado e o uso de APIs padrão do WordPress, permitindo que ele se misture com a atividade normal.
Os proprietários de sites podem se defender verificando referências a URLs da comunidade Steam, injeções externas suspeitas de JavaScript, conexões de saída de servidores WordPress para o Steam e carregamento inesperado de scripts de domínios como hello-mywordl[.]info.
Outros indicadores incluem caracteres Unicode invisíveis, entradas de cache _transient_caption_ suspeitas, verificação SSL desabilitada em solicitações cURL e solicitações POST contendo os cookies de autenticação do malware ou o parâmetro new_code.
Os pesquisadores recomendam que as equipes de segurança priorizem a restauração de um backup em bom estado antes da data da infecção. Se isso não for possível, o processo de limpeza manual deve ser completo porque “os invasores podem reinstalar o código removido através do backdoor se algum componente permanecer ativo”.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
O ator da ameaça usou caracteres Unicode invisíveis para codificar uma carga útil que cria uma URL para um script malicioso. Ao aproveitar a plataforma da Valve, o invasor evita manter uma infraestrutura C2 separada e evita os métodos tradicionais de detecção.
Desde que a campanha foi descoberta pela primeira vez em julho de 2025, os engenheiros de segurança da GoDaddy encontraram malware em aproximadamente 1.980 sites WordPress.
Não está claro como os hackers violam os sites, mas os pesquisadores avaliam que o vetor de infecção inicial varia desde logins de administrador roubados ou credenciais de FTP/SFTP comprometidas até a exploração de um tema ou plugin WordPress vulnerável, ou um comprometimento da cadeia de suprimentos.
O malware de primeiro estágio plantado em um site usa carregamentos de páginas do WordPress para alcançar perfis específicos do Steam e extrair texto de comentários de aparência benigna.
No entanto, o texto inclui caracteres Unicode ocultos que ocultam cargas maliciosas, às vezes disfarçadas de arte ASCII.
Comentário malicioso do SteamFonte: GoDaddy
Os pesquisadores do GoDaddy observam em um relatório que o agente da ameaça usa seis caracteres Unicode invisíveis para a carga codificada:
Não-juntor de largura zero (U+200C)
União de largura zero (U+200D)
Aplicação de função (U+2061)
Tempos invisíveis (U+2062)
Separador invisível (U+2063)
Mais invisível (U+2064)
O decodificador ignora qualquer caractere visível e mapeia os invisíveis para um número correspondente; em seguida, ele os converte em representação binária e reconstrói bytes do fluxo binário.
"Essa codificação permite que dados binários sejam incorporados em texto de aparência normal. Os caracteres visíveis servem como camuflagem, enquanto os caracteres invisíveis carregam a carga real", diz GoDaddy.
De acordo com os pesquisadores, a carga útil decodificada é usada para construir um URL hello-mywordl[.]info servindo código JavaScript que é injetado em cada página frontend do WordPress.
Com base nos nomes dos arquivos (por exemplo, asahi-jquery-min-bundle e lodash.core.min.js), o malware recuperado está disfarçado como uma biblioteca JavaScript legítima.
O estágio final do ataque é a implementação de um backdoor que responde a solicitações POST especialmente criadas que incluem um cookie de autenticação específico. Se o “cookie tEcaKKXEsb estiver presente, o backdoor aceita código PHP codificado em base64 por meio do parâmetro POST”, explicam os pesquisadores.
Solicitação POST com o cookie corretoFonte: GoDaddy
GoDaddy descreve vários mecanismos de evasão empregados pelo malware, incluindo strings ofuscadas usando escapes octais e hexadecimais, nomes de funções aleatórios, código de registro falso desativado e o uso de APIs padrão do WordPress, permitindo que ele se misture com a atividade normal.
Os proprietários de sites podem se defender verificando referências a URLs da comunidade Steam, injeções externas suspeitas de JavaScript, conexões de saída de servidores WordPress para o Steam e carregamento inesperado de scripts de domínios como hello-mywordl[.]info.
Outros indicadores incluem caracteres Unicode invisíveis, entradas de cache _transient_caption_ suspeitas, verificação SSL desabilitada em solicitações cURL e solicitações POST contendo os cookies de autenticação do malware ou o parâmetro new_code.
Os pesquisadores recomendam que as equipes de segurança priorizem a restauração de um backup em bom estado antes da data da infecção. Se isso não for possível, o processo de limpeza manual deve ser completo porque “os invasores podem reinstalar o código removido através do backdoor se algum componente permanecer ativo”.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #campanha #de #malware #do #wordpress #esconde #cargas #úteis #em #perfis #do #steam
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário