Quando Sites Confiáveis se Tornam Maliciosos: Compromissos em WordPress Impulsionam Operação Global de Stealers

16 de março de 2026

Resumo

A Rapid7 Labs identificou uma campanha ativa que comprometeu mais de 250 sites legítimos WordPress em 12 países . Essa operação injeta um falso Cloudflare CAPTCHA ClickFix que engana usuários Windows para que colem um comando PowerShell. Este comando, por sua vez, baixa o loader de shellcode DoubleDonut, que entrega o Vidar Stealer v2, um stealer .NET recém-identificado chamado Impure Stealer, e um novo stealer C++ específico para a campanha, denominado VodkaStealer. A cadeia de ataque opera quase inteiramente na memória, injetando payloads em svchost.exe através de VirtualAllocEx e CreateRemoteThread para evadir a detecção baseada em arquivos. O JavaScript do ClickFix também filtra ativamente cookies de administração do WordPress, user agents de bots conhecidos e referenciadores de wp-admin para evitar alertar os proprietários dos sites. Para mitigar, administradores WordPress devem restringir o acesso público a wp-admin, aplicar MFA, auditar plugins por versões vulneráveis e revisar as regras YARA e IOCs publicadas pela Rapid7.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 16 de março de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?