CEVIU Logo
Voltar

Campanha de malware no WordPress usa perfis da Steam para ocultar payloads

Aprofundamento CEVIU

Aprofundamento

A campanha usa um dead-drop C2 em plena vista: comentários públicos de perfis da Steam Community, não servidores controlados por atacantes. Os seis caracteres Unicode invisíveis (U+200C, U+200D, U+2061, U+2064) não são só ofuscação, são uma camada de esteganografia funcional, decodificada em tempo real pelo malware via hash_pbkdf2 e openssl_decrypt com AES-256-CTR. Isso permite que o payload final, uma URL, seja reconstruído dinamicamente, evitando strings estáticas que antivírus ou WAFs capturariam facilmente. O backdoor PHP ativado pelo cookie tEcaKKXEsb não é um script isolado: ele se integra ao ciclo de vida do WordPress, modificando arquivos de plugins e temas diretamente no disco, o que dificulta a detecção por assinatura e exige análise comportamental para identificação.

O vetor inicial ainda é incerto, mas os dados apontam para falhas de cadeia de suprimentos como fator crítico: desde agosto de 2025, mais de 30 plugins do pacote EssentialPlugin foram comprometidos com backdoors, e há relatos de exploração ativa da CVE-2026-3300 (CVSS 9.8) no Everest Forms Pro, vulnerabilidade que permite RCE sem autenticação. Ou seja, esse ataque não depende apenas de senhas fracas: ele se beneficia de atualizações negligenciadas e repositórios de terceiros comprometidos.

O que mudou

A cobertura CEVIU de 2026-06-04 já relatava a técnica de dead-drop na Steam e a codificação em Unicode, mas não detalhava o fluxo criptográfico completo nem a integração operacional com o WordPress (modificação direta de arquivos de tema/plugin). Agora sabemos que o backdoor usa openssl_decrypt com modo CTR, o que implica geração dinâmica de IVs e torna a reversão do payload quase inviável sem o cookie de sessão. Também foi confirmado o uso de hash_pbkdf2 para derivação de chave, indicando que o atacante planejou resistência a ataques offline. Além disso, o número exato de sites infectados foi ajustado para 1.980 (não 'quase 2.000'), e há evidências concretas de requisições outbound para perfis da Steam em logs de rede, algo que antes era hipótese.

Por que isso importa

Essa campanha mostra que o conceito de 'infraestrutura C2' está desaparecendo: não há mais servidores maliciosos para bloquear, só tráfego legítimo para steamcommunity.com. Firewalls e proxies corporativos não filtram isso. Para equipes de segurança, o foco precisa mudar de bloqueio de domínios para detecção de padrões anômalos, como arrays de caracteres Unicode invisíveis em arquivos PHP, chamadas a openssl_decrypt com parâmetros inusuais ou requisições POST com cookies nomeados de forma aleatória (ex: tEcaKKXEsb). É um alerta claro: atualizar plugins não basta se a cadeia de suprimentos já foi violada.

Linha do tempo

  1. Início da campanha de comprometimento de plugins WordPress do pacote EssentialPlugin

  2. Exploração em larga escala da falha SQL no Ghost CMS (CVE-2026-2711)

  3. CEVIU reporta primeira detecção da campanha com dead-drop na Steam Community

  4. GoDaddy confirma 1.980 sites WordPress infectados e detalha o fluxo criptográfico do backdoor

Perguntas frequentes

Como identificar se um site WordPress está infectado com esse malware?

Procure por arrays contendo caracteres Unicode invisíveis (U+200C, U+200D, U+2061, U+2064) em arquivos de plugins ou temas. Verifique também chamadas a funções como hash_pbkdf2 ou openssl_decrypt com chaves fixas, e logs de rede com requisições para perfis da Steam Community. A presença do cookie 'tEcaKKXEsb' em requisições POST é um indicador forte.

Por que usar a Steam Community como C2 é eficaz?

A Steam é um serviço legítimo, altamente confiável e raramente bloqueado por firewalls ou proxies. Comentários públicos são indexados, persistentes e acessíveis via API, ideal para dead-drop. Como o tráfego é HTTP/HTTPS normal, não gera alertas em sistemas baseados em assinatura ou reputação de domínio.

O backdoor pode ser removido apenas apagando o arquivo PHP?

Não. O malware modifica arquivos de plugins e temas diretamente no servidor. Apagar um único arquivo não resolve: o backdoor pode se regenerar ou já ter injetado código em múltiplos locais. A remediação exige varredura completa com ferramentas de integridade de arquivo, análise de logs e restauração a partir de backups limpos pré-comprometimento.

Esse ataque tem ligação com outras campanhas recentes de supply chain no WordPress?

Sim. A exploração ativa da CVE-2026-3300 no Everest Forms Pro e o comprometimento de 30+ plugins EssentialPlugin desde agosto de 2025 criam o terreno fértil para essa campanha. Ela não opera isoladamente: é parte de um ecossistema de infecção onde cadeia de suprimentos fraca + atualizações negligenciadas = porta aberta para dead-drop em serviços legítimos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
02 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser