Quando Sites Confiáveis se Tornam Maliciosos: Compromissos em WordPress Impulsionam Operação Global de Stealers

A Rapid7 Labs identificou uma campanha ativa que comprometeu mais de 250 sites legítimos WordPress em 12 países . Essa operação injeta um falso Cloudflare CAPTCHA ClickFix que engana usuários Windows para que colem um comando PowerShell. Este comando, por sua vez, baixa o loader de shellcode DoubleDonut, que entrega o Vidar Stealer v2, um stealer .NET recém-identificado chamado Impure Stealer, e um novo stealer C++ específico para a campanha, denominado VodkaStealer. A cadeia de ataque opera quase inteiramente na memória, injetando payloads em svchost.exe através de VirtualAllocEx e CreateRemoteThread para evadir a detecção baseada em arquivos. O JavaScript do ClickFix também filtra ativamente cookies de administração do WordPress, user agents de bots conhecidos e referenciadores de wp-admin para evitar alertar os proprietários dos sites. Para mitigar, administradores WordPress devem restringir o acesso público a wp-admin, aplicar MFA, auditar plugins por versões vulneráveis e revisar as regras YARA e IOCs publicadas pela Rapid7.