A principal ameaça de malware do WordPress de hoje é uma operação criminal conhecida como WP-VCD, atualmente responsável pela grande maioria dos sites hackeados do WordPress, de acordo com um relatório do Wordfence compartilhado exclusivamente com o ZDNet.
O relatório detalha detalhadamente como a turma do WP-VCD está espalhando seu malware, como o malware funciona até o fim, qual é o objetivo final dos criminosos e os vazamentos do OpSec que podem ter exposto a verdadeira identidade de um membro .
ESPALHANDO VIA TEMAS E PLUGINS PIRATEADOS
Mas se houver um tema em todo o relatório, essas infecções poderiam ter sido facilmente evitadas. A turma do WP-VCD não usa vulnerabilidades para invadir sites e instalar backdoors.
Em vez disso, eles contam com webmasters que se infectam baixando e instalando temas e plugins pirateados (nulos) em seus sites WordPress.
A gangue opera uma grande rede de sites – veja a lista abaixo – onde oferecem temas e plugins pirateados. Nesses sites, o grupo oferece downloads gratuitos de temas comerciais populares, geralmente vendidos em lojas particulares ou em sites populares como ThemeForest ou CodeCanyon.
www.download-freethemes.download
www.downloadfreethemes.co
www.downloadfreethemes.space
www.downloadnulled.pw
www.downloadnulled.top
www.freenulled.top
www.nulledzip.download
www.themesfreedownload.net
www.themesfreedownload.top
www.vestathemes .com
Todos esses sites para distribuição de temas e plugins pirateados com armadilhas têm um SEO fenomenal. Eles têm boa classificação nos resultados de pesquisa porque todos esses sites estão recebendo um impulso de palavras-chave de todos os sites atualmente invadidos por hackers que foram infectados com o malware WP-VCD – em um efeito clássico de loop maligno.
Procurar o nome de qualquer tema popular do WordPress e o termo “download” geralmente gera até dois ou três desses sites ruins, logo no topo dos resultados de pesquisa do Google.
Isso garante efetivamente um novo fluxo de vítimas que chegam diariamente a sites maliciosos, alimentando novas vítimas na botnet WP-VCD.
UMA INFECÇÃO POR WP-VCD GERALMENTE É MUITO RUIM
Depois que os usuários instalam qualquer um dos temas e plugins bloqueados que baixaram desses sites de distribuição, suas instalações do WordPress são invadidas e retomadas em segundos.
Para iniciantes, uma conta de backdoor com o nome 100010010 é adicionada a cada site, garantindo que os operadores WP-VCD tenham uma maneira de acessar a instalação de cada vítima usando um usuário legitimamente registrado.
O QUE É MALWARE?
Ataques cibernéticos e malware são uma das maiores ameaças da Internet. Aprenda sobre os diferentes tipos de malware – e como evitar ser vítima de ataques.
Segundo, o malware WP-VCD é adicionado a todos os temas do site. Isso é feito caso o usuário esteja testando apenas temas piratas. Caso eles não acompanhem o infectado, o código WP-VCD ainda será executado nos outros temas.
Terceiro, se for um ambiente de hospedagem compartilhada, o malware também se espalha para o servidor subjacente, infectando outros sites hospedados no mesmo sistema – penalizando efetivamente os usuários que investiram na segurança do site, apenas para ser superado por um webmaster ao lado.
COMO BANDIDOS DO WP-VCD GANHAM DINHEIRO
O objetivo de tudo isso é criar uma rede de bots de sites invadidos que reportem de volta a uma rede central de comando e controle (C&C). A partir daí, a turma do WP-VCD pode controlar o que acontece com todos os sites invadidos.
Segundo o Wordfence, o grupo geralmente se concentra em duas avenidas. O primeiro é para seu próprio benefício e envolve a inserção de palavras-chave e backlinks nos sites de distribuição.
Dessa forma, todos os sites invadidos ajudam a melhorar a visibilidade dos sites de distribuição nos resultados de pesquisa, alimentando os novos webmasters crédulos da rede de bots.
A segunda avenida é como a gangue WP-VCD ganha seu dinheiro, ou seja, propaganda enganosa. Por Mikey Veenstra, analista do Wordfence, a turma do WP-VCD insere anúncios em sites invadidos. Esses anúncios geralmente contêm código malicioso adicional que às vezes abre pop-ups ou redireciona os usuários para outros sites maliciosos.
A quadrilha WP-VCD está ganhando dinheiro com os anúncios, mas também com esses redirecionamentos de pagamento por usuário, canalizando possíveis vítimas para a operação de malware de outra quadrilha.
HACKEANDO SITES WORDPRESS DESDE 2017
Esse complexo modus operandi não foi construído em um dia. O WP-VCD existe desde pelo menos fevereiro de 2017 , tornando-se cada vez mais predominante ao longo desse ano [ 1 , 2 ].
Atualmente, o Wordfence diz que o WP-VCD é o principal grupo de hackers de hoje no cenário do WordPress.
“De acordo com os resultados da verificação de malware na rede Wordfence, o WP-VCD é instalado em mais sites novos por semana do que em qualquer outro malware nos últimos meses”, disse Veenstra.
“A prevalência do malware é surpreendente, pois a campanha em si está ativa há mais de dois anos”, acrescentou o analista do Wordfence, referindo-se ao fato de que a maioria das campanhas desaparece à medida que os webmasters implementam contramedidas.
Mas como o WP-VCD explora o fator humano (usuários que desejam instalar temas comerciais sem pagar), não há uma quantidade de patches ou firewalls que podem impedir infecções por WP-VCD.
NO BURACO DO COELHO
Mas esse mergulho profundo na operação do WP-VCD também revelou algumas pistas sobre quem pode estar por trás disso. Wordfence diz que, enquanto a grande maioria dos domínios usados pela turma do WP-VCD foram registrados usando proteções de privacidade, alguns mais antigos escaparam.
Especificamente, alguns domínios foram registrados por um homem chamado Sharif Mamdouh, disse o Wordfence.
Além disso, alguns dos domínios WP-VCD também foram vinculados a hacks em sites Joomla desde 2013, de acordo com reclamações e detalhes de hackers que alguns administradores de sites Joomla compartilharam em fóruns de suporte.
No entanto, não está claro se esse é um nome legítimo ou uma identidade roubada. O rastreamento da quadrilha WP-VCD exigirá investigações adicionais e, muito provavelmente, envolvimento da polícia.
Enquanto isso, os proprietários de sites WordPress devem ter em mente que, quando algo é gratuito, “você é o produto”; nesse caso, seu site, que agora foi encurralado em uma operação de crime cibernético.
A instalação de conteúdo pirata em 2019 é definitivamente um não-não-seguro, e nunca deve ser feito, independentemente de ser um aplicativo de desktop ou um tema WordPress.
Para uma análise mais detalhada da campanha WP-VCD, o relatório do Wordfence pode ser baixado do site da empresa .
FONTE: ZDNET