Uma campanha de ataques a sites WordPress comprometeu quase 300 sites num único dia, na última semana. Os principais alvos dos ataques parecem ser as páginas hospedadas pela GoDaddy, com a inserção de páginas maliciosas que tentam induzir os utilizadores à compra de produtos falsos.
No total, 298 sites foram comprometidos só no dia 11 de Março, sendo que 281 deles estão hospedados na plataforma da GoDaddy, seja por meios diretos ou a partir de revendedores. As páginas maliciosas são inseridas a partir de servidores controlados pelos criminosos com foco a produtos farmacêuticos, usando a credibilidade dos veículos reais para garantir aparição em buscas e vendas fraudulentas, bem como a entrega de dados financeiros.
Os especialistas da Wordfence, foram os que divulgaram alerta sobre esta campanha. Os sistemas terão sido acedidos indevidamente, o que fez com que a campanha atingisse também revendedores como MediaTemple, Domain Factory e Host Europe.
Enquanto o vetor da intrusão não foi revelado, a Wordfence desvendou que foi usada uma ferramenta de intrusão SEO presente no cenário de ameaças desde 2015. Ela ainda funciona, justamente, por utilizar backdoors presentes nos servidores, e não nos navegadores dos utilizadores, o que faz com que sistemas de segurança também entendam as páginas inseridas como legítimas, já que vêm de URLs confiáveis.
A Wordfence lembra que, em Novembro do ano passado, uma falha expôs as informações de 1,2 milhões de clientes e também de revendedores. A relação entre os dois factos pode ser traçada, mas novamente, não há informação oficial sobre o que causou o aumento destes ataques.
Os especialistas recomendam a análise do código do ficheiro wp-config.php, presente em todas as instalações de WordPress, em busca de backdoors ou alterações recentes. A remoção de páginas fraudulentas também é essencial para os administradores que descobrirem a intrusão, de forma a não prejudicar resultados de buscas e a reputação das páginas.
Aos utilizadores, a recomendação é de atenção quanto à existência de páginas falsas, principalmente quando um produto listado não tiver relação com o teor do site em consulta. Prefira fazer compras em e-commerces reconhecidos e não preencha os seus dados pessoais e financeiros em sites deste tipo.
