Quando Sites Confiáveis se Tornam Maliciosos: Compromissos em WordPress Impulsionam Operação Global de Stealers
Aprofundamento CEVIU
Aprofundamento
A campanha identificada pela Rapid7 não é um surto isolado, mas o ápice de uma escalada estrutural no uso de WordPress como plataforma de distribuição de infostealers. Desde dezembro de 2025, ela opera com precisão tática: injeta JavaScript falso que imita o CAPTCHA do Cloudflare em sites legítimos, incluindo a página oficial de um candidato ao Senado dos EUA, e só ativa o payload para usuários Windows com browser ativo, ignorando bots, cookies de administração e acessos a wp-admin. O truque é técnico e psicológico: o usuário vê um 'erro de verificação' e é instruído a colar um comando PowerShell na tela. Esse comando não baixa um arquivo, mas carrega shellcode diretamente na memória do svchost.exe via VirtualAllocEx e CreateRemoteThread, contornando AMSI, WLDP e antivírus baseados em assinatura.
O DoubleDonut, loader central da operação, é uma evolução calculada do Donut aberto (MITRE S0695), usado duas vezes seguidas para ofuscar ainda mais o fluxo de execução. Ele entrega três stealers em paralelo: o Vidar v2.0, reescrito em C, com bypass da criptografia AppBound do Chrome por injeção direta na memória; o Impure Stealer, .NET com AES-256-CBC configurável via C2; e o VodkaStealer, C++ específico desta campanha, menos sofisticado, mas intencionalmente ruidoso, grava arquivos temporários em texto simples, sugerindo que seu objetivo é coleta rápida em ambientes com pouca visibilidade de endpoint, não persistência longa.
Por que isso importa
Isso importa porque os ataques não estão mais esperando usuários clicarem em links suspeitos: agora exploram confiança em infraestrutura legítima. Um site de jornal regional no Brasil ou uma loja local no Canadá, comprometidos via plugin vulnerável ou credencial fraca, viram vetores silenciosos de roubo massivo de senhas, cookies, carteiras de cripto e até tokens 2FA. A falha não está no navegador ou no sistema operacional, está na gestão de acesso, na atualização defensiva e na cegueira sobre o que roda *dentro* do servidor WordPress. O Relatório Global de Ameaças da Rapid7 mostra que 43,9% dos incidentes investigados em 2025 partiram de contas válidas sem MFA. Nesta campanha, o ponto de entrada quase sempre foi um painel wp-admin exposto, sem autenticação forte, e um plugin desatualizado, como os comprometidos em abril de 2026 após venda no Flippa.
Linha do tempo
Infraestrutura da campanha (domínios C2) entra em operação
Campanha ativa em sua forma atual começa a comprometer sites WordPress
Rapid7 Labs divulga detalhes técnicos da operação com 250+ sites comprometidos e três stealers novos ou atualizados
Perguntas frequentes
Por que o comando PowerShell aparece como 'necessário' no falso CAPTCHA?
O JavaScript malicioso copia o comando para a área de transferência automaticamente ao exibir o falso CAPTCHA. O usuário, acreditando estar resolvendo um bloqueio legítimo, cola o comando sem perceber que ele baixa e executa shellcode diretamente na memória, sem gravar arquivos no disco.
O Vidar Stealer v2.0 é realmente novo? O que mudou em relação à versão anterior?
Sim. Lançado em outubro de 2025, o Vidar v2.0 foi reescrito inteiramente em C (não C++), com foco em desempenho e anti-análise avançada. Ele extrai credenciais de navegadores multithread e bypassa a criptografia AppBound do Chrome via injeção direta na memória, algo que a versão anterior não fazia.
O que torna o VodkaStealer diferente de outros stealers como Vidar ou Impure?
É um stealer C++ feito sob medida para esta campanha, atribuído ao mesmo autor do DoubleDonut. Tem menos recursos anti-análise e grava dados temporários em texto claro no disco, sinal de que prioriza velocidade e simplicidade em ambientes com pouca detecção de endpoint, não discrição a longo prazo.
Atualizar o WordPress resolve esse tipo de ataque?
Não resolve. Sites comprometidos nesta campanha tinham núcleo atualizado, mas usavam plugins vulneráveis ou credenciais fracas. A limpeza exige varredura manual do servidor, rotação de todas as credenciais, remoção de backdoors ocultos e monitoramento de processos em memória, atualizações padrão não removem payloads residentes.
Fontes
- rapid7.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 16 de março de 2026
- Editoria
- CEVIU Segurança da Informação
