Os sites que utilizam o sistema de gestão WordPress estão, mais uma vez, no centro de uma campanha maliciosa. A nova estratégia é a utilização de falsos alertas de segurança do serviço Cloudflare, destinados a proteger contra ataques de negação de serviço, como um vector para descarregar malware, que rouba palavras-passe guardadas nos browsers dos utilizadores.
A porta de entrada está em temas e plugins da plataforma de gestão de conteúdos que, a partir de definições inseguras ou de lacunas de segurança não corrigidas, permitem aos criminosos inserir um código malicioso em páginas legítimas. Os sites começam então a exibir um alerta aos utilizadores, pedindo um código de autenticação que não existe e o download de uma suposta solução para verificar se o acesso é real.
Disfarçado de uma aplicação chamada DDOS Guard, que utiliza o nome de uma empresa de segurança real, a infecção acontece através de um ficheiro ISO, que também está alojado no site comprometido. Uma vez instalado, exibe o código de acesso à página e executa também comandos que iniciam uma cadeia de instalações de Tróia, incluindo o Raccoon Stealer, que executa actividades de roubo de palavra-passe.
As credenciais guardadas nos browsers bem como os dados preenchidos automaticamente e os cartões de crédito armazenados são o foco principal dos criminosos.
Uma segunda versão da praga teria como objectivo roubar carteiras de moeda criptográfica e ficheiros de computador, assim como executar tarefas de espionagem envolvendo capturas de ecrã. Todos os dados são enviados para servidores sob controlo dos criminosos, de onde podem ser trocados ou utilizados em novos esquemas.
De acordo com o canal Tech, o alerta emitido pelos peritos de segurança de Sucuri aponta também para um código de contaminação amplamente ofuscado capaz de escapar à detecção por sistemas de segurança informática. O alvo são os PC Windows e os sites que têm uma arquitectura desactualizada ou utilizam extensões com lacunas conhecidas, mas cujas actualizações ainda não estão disponíveis ou não foram aplicadas pelos administradores.
Assim, recomenda-se que os sites WordPress sejam constantemente actualizados, com temas e plugins, e a própria plataforma deve estar sempre a executar as versões mais recentes. Para os responsáveis pelas páginas, é também boa ideia evitar extensões que tenham sido abandonadas pelos programadores ou que não tenham recebido correcções durante muito tempo, preferindo soluções optimizadas e reconhecidas.
Os especialistas também recomendam a utilização de outras soluções de segurança no próprio site, tais como sistemas de verificação e monitorização de ficheiros alojados, assim como plataformas de protecção contra uso malicioso. Tais recursos impedem que sites legítimos – sempre os favoritos dos bandidos para este fim – sejam utilizados como um ponto de disseminação de malware.
Além disso, os utilizadores são aconselhados a não descarregar ficheiros a partir de anúncios ou sinalizações em websites, uma vez que esta é uma forma comum de propagação de malware. Manter o sistema operativo actualizado e utilizar antivírus ou outros sistemas de segurança digital também ajuda a escapar às explorações mais comuns.