Pesquisadores da Sophos X-Ops, Sucuri e Patchstack identificaram uma campanha de malware em larga escala que conecta vulnerabilidades em plugins WordPress desatualizados com a distribuição de trojans Android fora das lojas oficiais. O ataque tem como objetivo instalar backdoors nos sites WordPress, disseminar aplicativos maliciosos como PJobRAT e Wpeeper, e utilizar esses dispositivos como vetores para movimentação lateral em redes corporativas.
O Blog Dolutech reuniu as descobertas mais relevantes dessa campanha e apresenta, neste artigo, uma análise técnica detalhada do vetor de ataque, dos malwares utilizados, dos plugins vulneráveis explorados e das recomendações práticas de mitigação para administradores e equipes de cibersegurança.
1. Cadeia de Ataque: WordPress como Vetor Inicial
Os atacantes iniciam o processo comprometendo sites WordPress vulneráveis. A campanha explora falhas críticas em plugins para obter execução de código remoto, injeção SQL e upload arbitrário de arquivos.
Uma vez comprometido, o atacante insere scripts persistentes na pasta wp-content/mu-plugins/, como redirect.php e custom-js-loader.php. Esses scripts executam automaticamente em todas as requisições do site e têm como função:
- Redirecionar usuários para páginas falsas de download de aplicativos Android (APK);
- Atuar como ponte para servidores de comando e controle (C2);
- Reinstalar o malware em caso de tentativa de remoção.
Com isso, o atacante transforma o site WordPress em um distribuidor de malware, promovendo aplicativos falsos disfarçados de navegadores ou mensageiros, como SangaalLite e CChat.
2. Plugins WordPress Visados
A Sucuri e a Patchstack identificaram ao menos quatro vulnerabilidades críticas exploradas ativamente desde janeiro de 2024:
| CVE | Plugin / Tema | Gravidade (CVSS) | Tipo de Falha |
|---|---|---|---|
| CVE-2024-27956 | WordPress Automatic | 9.9 | Execução arbitrária de SQL |
| CVE-2024-25600 | Bricks Theme | 10.0 | RCE não autenticado |
| CVE-2024-8353 | GiveWP | 10.0 | Injeção de objeto PHP com execução remota |
| CVE-2024-4345 | Startklar Elementor Addons | 10.0 | Upload arbitrário de arquivos |
Em 2024, o ecossistema WordPress já registrou 7.966 novas vulnerabilidades, sendo 96% em plugins. Quase metade dessas falhas não requer autenticação para exploração, o que amplia o risco mesmo para sites públicos sem login exposto.
3. Trojans Android Utilizados
PJobRAT
- Distribuição: hospedado em sites WordPress comprometidos, ativo por até 22 meses.
- Capacidades:
- Roubo de SMS, contatos e arquivos.
- Execução de comandos shell para escalar privilégios e instalar utilitários adicionais.
- Escaneamento da rede local.
- C2: utiliza Firebase Cloud Messaging e conexões HTTP diretas.
Wpeeper
- Diferencial: utiliza sites WordPress comprometidos como proxies de comando e controle, redirecionando entre domínios HTTPS comprometidos.
- Capacidades:
- Execução remota de comandos.
- Upload/download de arquivos.
- Autodestruição para dificultar análise forense.
4. Impacto e Técnicas de Propagação Interna
Persistência dupla
- Scripts maliciosos persistem mesmo após a exclusão de plugins.
- Cron jobs e arquivos
.phpescondidos garantem a reinfecção.
Movimentação lateral
- O PJobRAT executa varreduras na rede local via comandos shell.
- Identifica recursos como compartilhamentos SMB e utiliza credenciais fracas para se propagar.
Ofuscação de C2
- O Wpeeper alterna entre múltiplos domínios WordPress comprometidos, dificultando bloqueios baseados em reputação de domínio.
5. Indicadores de Comprometimento (IOCs)
Pastas e arquivos maliciosos identificados
wp-content/mu-plugins/redirect.phpwp-content/mu-plugins/custom-js-loader.php
Domínios de distribuição de APKs maliciosos
saangal[.]infocchat-secure[.]site- Outros listados no repositório da Sophos no GitHub
Servidores de comando e controle (C2)
westvist[.]myftp[.]org(associado ao PJobRAT)- Cerca de 45 domínios WordPress atuando como redirecionadores (associados ao Wpeeper)
6. Mitigações Recomendadas
Para Administradores de Sites WordPress
- Realize inventário completo dos plugins e remova os sem manutenção.
- Aplique imediatamente os patches dos CVEs mencionados.
- Habilite atualizações automáticas de segurança.
- Monitore a pasta
mu-pluginse desative a execução de PHP onde possível. - Implemente um WAF com regras específicas para WordPress, como a OWASP CRS.
Para Equipes de Segurança Móvel e MDM
- Bloqueie a instalação de APKs externos (sideload) e aplique verificação de integridade via MDM.
- Ative o Google Play Protect em todos os dispositivos corporativos.
- Utilize soluções de EDR mobile com monitoramento de comportamento.
- Monitore domínios WordPress no tráfego DNS e HTTPS de dispositivos móveis.
Políticas Gerais de Segurança
- Separe redes de visitantes e redes corporativas com VLANs e firewalls.
- Exija autenticação multifator (MFA) nos painéis
wp-admine consoles de MDM. - Realize campanhas de conscientização para alertar sobre riscos de instalar apps via links recebidos por e-mail, QR codes ou sites não oficiais.
Conclusão
A campanha detalhada pelos especialistas da Sophos, Sucuri e Patchstack evidencia uma nova classe de ameaça: a convergência entre falhas de CMS e ataques a dispositivos móveis. Um simples site WordPress comprometido pode se transformar em uma plataforma de distribuição de malware capaz de atingir ambientes corporativos inteiros.
A Dolutech reforça que manter o ambiente WordPress atualizado, auditar os plugins regularmente, aplicar segmentação de rede e controlar a instalação de aplicativos Android são medidas indispensáveis para mitigar esse vetor de ataque combinado.
A defesa em profundidade, unindo proteção de servidores, dispositivos e usuários, é a única forma eficaz de enfrentar ameaças tão integradas.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.