Campanha de malware usa perfis da Steam para infectar sites WordPress
Aprofundamento CEVIU
Aprofundamento
A campanha usa esteganografia Unicode em comentários da Steam Community, não como mero canal de comunicação, mas como infraestrutura C2 do tipo dead-drop operacional desde julho de 2025. Seis caracteres invisíveis (U+200C, U+200D, U+2061, U+2064) carregam payloads criptografados com AES-256-CTR e autenticação HMAC-SHA256. O JavaScript injetado via wp_enqueue_script com handle asahi-jquery-min-bundle não é um script genérico: ele faz requisições específicas à API da Steam para extrair o payload, decodifica-o e baixa um backdoor PHP que responde apenas a POSTs com cookies pré-definidos como DEpjndDbNc. Esse backdoor tem permissão para ler, modificar e executar código em diretórios de plugins e temas, e persiste mesmo após remoção aparente, pois se reativa ao carregar qualquer página.
O ataque explora uma falha estrutural na defesa de sites WordPress: a confiança cega em bibliotecas externas e a ausência de validação de origem em chamadas a wp_enqueue_script. Diferente de injeções diretas ou exploits conhecidos, aqui o vetor inicial não depende de vulnerabilidade no núcleo ou plugin, pode vir de credenciais vazadas, tema mal configurado ou até atualização comprometida por cadeia de suprimentos, como visto no desligamento de 25 plugins pelo WordPress.org em abril de 2026.
O que mudou
Entre 2026-06-02 e 2026-06-04, a GoDaddy confirmou a evolução da campanha: o número de sites infectados subiu de ~1.980 para quase 2.000, e foi identificada a fase final do ataque, o deploy ativo do backdoor PHP com execução remota via cookies específicos. A cobertura anterior mencionava apenas a infraestrutura C2 e a esteganografia; agora há evidência de que o payload decodificado já está sendo usado para implantar web shells persistentes, com capacidade de manipular arquivos em /wp-content/plugins/ e /wp-content/themes/, além de buscar credenciais em arquivos de configuração.
Por que isso importa
Esse ataque não é só mais um caso de injeção em WordPress. Ele mostra como plataformas legítimas de terceiros, como a Steam, estão sendo convertidas em infraestrutura de ataque sem detecção, porque ferramentas de segurança raramente inspecionam tráfego para domínios confiáveis. Para empresas que usam WordPress em ambientes críticos (como portais de atendimento, lojas ou intranets), isso significa que um único comentário malicioso em um perfil público pode virar porta de entrada para exfiltração de dados, ransomware ou pivô para redes corporativas. A resposta não é bloquear a Steam, mas monitorar chamadas inesperadas a steamcommunity.com no código do tema, validar assinaturas de scripts enfileirados e exigir SSL strict em todas as chamadas cURL, inclusive nas funções de plugins personalizados.
Linha do tempo
Início da campanha usando esteganografia Unicode em perfis da Steam Community
Exploração ativa da falha SQL no Ghost CMS (campanha ClickFix)
Detecção da campanha TrapDoor em pacotes npm, PyPI e Crates.io
GoDaddy identifica 1.980 sites WordPress infectados com a campanha da Steam
Confirmação do deploy ativo de backdoor PHP com execução remota via cookies específicos
Perguntas frequentes
Como identificar se meu site WordPress está infectado por essa campanha?
Procure no código-fonte dos temas e plugins por chamadas a wp_enqueue_script com handles como asahi-jquery-min-bundle, referências a steamcommunity.com ou arrays contendo caracteres Unicode invisíveis (U+200C, U+200D). Verifique também logs de acesso para requisições POST com cookies como DEpjndDbNc e arquivos PHP suspeitos em /wp-content/plugins/ que usem hash_pbkdf2 ou openssl_decrypt.
Por que usar a Steam como C2 é eficaz contra detecção?
A Steam é um domínio confiável, raramente bloqueado por firewalls ou WAFs. Como os comentários são públicos e estáticos, não geram tráfego malicioso em tempo real, o malware só 'acorda' ao acessar a API da Steam para extrair o payload. Isso evita servidores C2 óbvios e dificulta correlação por análise de rede tradicional.
O que fazer se encontrar o backdoor PHP no servidor?
Não basta remover o arquivo. O backdoor é auto-reinjetável: ele modifica arquivos de tema e plugin para garantir recarga. A única remediação segura é restaurar o site a partir de um backup limpo anterior à infecção, e revisar todas as credenciais de administrador, FTP e banco de dados, pois elas provavelmente foram comprometidas.
Essa campanha está ligada a grupos conhecidos ou a outras ameaças recentes?
Não há evidência de ligação com Nimbus Manticore ou TrapDoor. Mas compartilha táticas com a campanha ClickFix (Ghost CMS) e o ataque ao Checkmarx KICS: todos exploram confiança em recursos legítimos (bibliotecas, extensões, APIs) para esconder código malicioso. É parte de um padrão crescente de ataques à cadeia de suprimentos em aplicações web e desenvolvimento.
Fontes
- bleepingcomputer.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 04 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
