titulo

titulo

Especialistas de segurança da Sucuri revelaram ontem um ataque em andamento em sites WordPress que alteram os seus códigos fontes e silenciosamente redirecionam usuários para sites maliciosos. Alguns sites Joomla também são afetados pela falha. Ao menos um total de 6.400 sites estão infectados.

De acordo com uma investigação conduzida por John Castro, da Sucuri, os atacantes estão usando vulnerabilidades em versões antigas de WordPress ou plugins WordPress para ganhar acesso a um site, e e eles então editam o arquivo header.php do tema principal ao adicionar 12 linhas de código ofuscado. A Sucuri diz que em alguns casos, os atacantes descobrem como obter as credenciais do administrador do site por outros meios, e apenas fazem login pela página regular do site, e acessam a seção de edição interna do tema WordPress, para adicionar código fonte malicioso manualmente.

A empresa de segurança também aponta que além disso, não apenas o WordPress é afetado, e também o mesmo código malicioso foi avistado sendo adicionado a sites Joomla, no arquivo administrator/includes/help.php. O número de sites Joomla comprometidos é muito menor. A Sucuri diz que a campanha ainda está em andamento, e que nas versões anteriores os criminosos estavam adicionando o mesmo código ofuscado no arquivo do tema footer.php.

Após descompactar o código fonte malicioso, a empresa de segurança diz que a funcionalidade que eles encontraram é simples embora efetiva. Os criminosos estão dizendo a cada site para selecionar usuários visitantes com uma chance de quinze por cento e os redirecionar para uma URL predeterminada. O código fonte malicioso também configura um cookie no browser do usuário, que o previne de redirecionar o usuário novamente no ano seguinte.

Os domínios para qual o atacante redireciona os usuários são: default7.com, test246.com, test0.com, distinctfestivel.com e ableoccassion.com. A Sucuri diz que estes são apenas gateways para domínios mais inseguros. Uma vez que o usuário alcança esses gateways, eles o redirecionam para outros e outros mais perigosos. Em um desses casos, observados pela Sucuri, os usuário utilizando o Internet Explorer foram redirecionados para sites que ofereciam downloads infectados por malware, que se passavam por atualizações autênticas de Adobe Flash ou Java.

O pesquisador Jerome Segura, da MalwareBytes, também reportou que a companhia dele avistou o mesmo gateway de domínio redirecionar usuários para golpes de suporte de tecnologia. Devido às muitas configurações de PHP e algumas más codificações no código fonte malicioso PHP, em alguns sites infectados, o código gerou um erro. O Softpedia pesquisou o erro e ao tempo do artigo foram descobertos exatos 6.400 sites infectados, embora o número real de instalações WordPress infectadas é obviamente maior. Uma imagem para que os webmasters possam procurar a presença do código no arquivo header.php está disponível.

Fonte:

http://news.softpedia.com/news/new-attack-on-wordpress-sites-redirects-traffic-to-malicious-urls-503740.shtml
https://blog.sucuri.net/2016/05/wordpress-redirect-hack-test0-default7.html
http://i1-news.softpedia-static.com/images/fitted/620x/new-attack-on-wordpress-sites-redirects-traffic-to-malicious-urls-503740-2.jpg
http://i1-news.softpedia-static.com/images/fitted/340×180/new-attack-on-wordpress-sites-redirects-traffic-to-malicious-urls.png