Table of Contents
Campanha de Malware Disfarçado de Atualizações Falsas de Navegador
A utilização de atualizações de navegador falsas como vetor de distribuição de malware foi elevada a um novo patamar por parte de atores de ameaças, que têm explorado uma vasta gama de plug-ins do WordPress para entregar cargas de infostealers. Após utilizar credenciais roubadas para acessar e infectar milhares de sites, o registrador de domínios GoDaddy alertou que uma nova variante de malware conhecida como ClickFix infectou mais de 6.000 sites WordPress em um único dia, entre 2 e 3 de setembro.
A Metodologia do Ataque
Os autores da ameaça usaram credenciais de administrador do WordPress roubadas para infectar sites comprometidos com plug-ins maliciosos como parte de uma cadeia de ataque que não está relacionada a quaisquer vulnerabilidades conhecidas no ecossistema WordPress. O engenheiro de segurança principal da GoDaddy, Denis Sinegubko, afirmou:
“Esses plug-ins aparentemente legítimos são projetados para parecerem inofensivos para os administradores de sites, mas contêm scripts maliciosos embutidos que entregam prompts de atualização de navegador falsos aos usuários finais.”
A campanha utiliza plug-ins falsos do WordPress que injetam JavaScript levando a atualizações de navegador ClickFix, que empregam blockchain e contratos inteligentes para obter e entregar cargas maliciosas. Os atacantes empregam estratégias de engenharia social para enganar os usuários, levando-os a acreditar que estão atualizando seus navegadores, mas na verdade estão executando códigos maliciosos, comprometendo seus sistemas com diversos tipos de malware e informações roubadas.
Campanhas Relacionadas, mas Separadas
É importante mencionar que ClearFake, amplamente identificado em abril, é outro agrupamento de atividades de atualização de navegador falso que compromete sites legítimos com HTML e JavaScript maliciosos. Inicialmente dirigido a sistemas Windows, mais tarde espalhou-se para macOS também.
Pesquisadores relacionaram ClickFix ao ClearFake, embora as campanhas apresentem numerosas diferenças e provavelmente sejam agrupamentos de atividades separadas. A GoDaddy relatou ter monitorado a campanha de malware ClickFix desde agosto de 2023, detectando-a em mais de 25.000 sites comprometidos globalmente. Outros analistas do Proofpoint detalharam ClickFix pela primeira vez no início deste ano.
A nova variante ClickFix, conforme descrita pela GoDaddy, está espalhando malware disfarçado de atualização de navegador através de plug-ins falsos do WordPress com nomes genéricos, como “Advanced User Manager” e “Quick Cache Cleaner”. Todos os dados nas metadados dos plug-ins são falsos, incluindo nome, URL, descrição, versão e autor, mas parecem plausíveis à primeira vista e não levantam suspeitas imediatamente.
Automação Utilizada para Escalar a Campanha
Uma análise mais aprofundada detectou automação na convenção de nomenclatura dos plug-ins, com pesquisadores observando um padrão de nomenclatura de arquivos JavaScript consistindo na primeira letra de cada palavra no nome do plug-in, seguida por “-script.js”. Por exemplo, o plug-in Advanced User Manager contém o arquivo aum-script.js.
Além disso, os URIs de plug-ins e autores frequentemente referenciam o GitHub, mas a análise mostrou que os repositórios associados aos plug-ins realmente não existem. Além disso, os nomes de usuário do GitHub seguiam uma convenção sistemática de nomeação ligada aos nomes dos plug-ins, o que “indica um processo automatizado por trás da criação desses plug-ins maliciosos”, conforme escreveu Sinegubko.
Os pesquisadores descobriram que os plug-ins são gerados sistematicamente usando um modelo comum, permitindo que “atores de ameaças produzam rapidamente um grande número de nomes de plug-ins plausíveis, completos com metadados e código embutido projetado para injetar arquivos JavaScript nas páginas do WordPress”. Isso permitiu que os atacantes escalassem suas operações maliciosas e adicionassem uma camada adicional de complexidade para a detecção.
Roubo de Credenciais como Entrada Inicial?
A GoDaddy não esclareceu como os atacantes adquiriram credenciais de administrador do WordPress para iniciar a mais recente campanha ClickFix, mas observou que vetores potenciais incluem ataques de força bruta e campanhas de phishing destinados a adquirir senhas e nomes de usuário legítimos. Além disso, como as cargas da própria campanha envolvem a instalação de diversos infostealers em sistemas de usuários finais comprometidos, é possível que os atores de ameaças estejam coletando credenciais de administrador dessa forma.
Sinegubko comenta que, ao falar sobre infostealers, muitas pessoas pensam em credenciais bancárias, carteiras de criptomoedas e similares, mas muitos stealers podem coletar informações e credenciais de uma gama muito mais ampla de programas. Outro cenário possível é que os endereços IP residenciais a partir dos quais os plug-ins falsos foram instalados poderiam pertencer a um botnet de computadores infectados que os atacantes usam como proxies para hackear sites.
Devido à inclusão do roubo de credenciais legítimas para logar em sites WordPress, é recomendável que as pessoas sigam boas práticas gerais para proteger suas senhas, além de evitar interagir com quaisquer sites ou mensagens desconhecidas que solicitem que divulguem credenciais privadas. A GoDaddy também incluiu uma longa lista de indicadores de comprometimento (IoCs) para a campanha — incluindo nomes de plug-ins e arquivos JavaScript maliciosos, endpoints que os contratos inteligentes da campanha conectam e contas do GitHub associadas — em seu post no blog, para que os defensores possam identificar se um site foi comprometido.
#Malware, #SegurançaCibernética, #WordPress, #AtaquesCibernéticos, #EngenhariaSocial, #Infostealers