Empresa Roda Código Malicioso em 300 Mil Sites

A empresa de segurança Wordfence alertou nesta terça-feira (19) que o plugin “Captcha” do WordPress foi modificado para incluir um código que dá acesso indevido – um “backdoor” — aos sites que instalaram o plugin. O código malicioso não estava presente no arquivo original, mas era incluído após uma “atualização automática”. O plugin mudou de dono em setembro e passou a ser gerenciado por suposta empresa chamada de “Simply WordPress”.

O WordPress é um software usado por sites na internet para criar blogs e outros tipos de sites. O “Captcha” estava no repositório oficial mantido pelos desenvolvedores da plataforma. De acordo com as estatísticas do repositório informadas pela Wordfence, 300 mil sites tinham o plugin ativo.

Para consegui manter o plugin no repositório oficial, o código que dava acesso indevido não vinha diretamente no arquivo, mas era baixado depois como “atualização”. O plugin ainda tinha capacidade de instalar outra atualização que escondia o código do backdoor para dificultar a identificação da origem do problema.

A Wordfence não informou em detalhes como o acesso indevido pode ser obtido por meio do plugin. A empresa aguardará 30 dias para que os donos dos sites tenham tempo para tomar as medidas necessárias. No entanto, é possível que criminosos descubram como explorar o problema e ataques comecem antes desse prazo. Os ataques poderão ser usados para adulterar as páginas;

Quem instalou o plugin em seu site WordPress deve removê-lo para desativar o código malicioso. Também é recomendado trocar a senha do administrador (a conta criada durante a instalação do WordPress). O WordPress dispõe de outras extensões com a mesma funcionalidade da extensão Captcha, então mesmo quem precisa do recurso não ficará sem alternativa após desinstalar a extensão adulterada.

• Compra de plugin

A BestWebSoft, desenvolvedora do plugin, vendeu o código em setembro. Não se sabe se a compra foi efetuada já com o intuito de colocar o código malicioso nos sites, mas esta tática já foi utilizada por criminosos para incluir códigos maliciosos em extensões do Chrome.

O objetivo dos criminosos nesses casos é tirar proveito do recurso de atualização automática. Usuários estão acostumados a instalar atualizações que corrigem bugs ou mesmo falhas de segurança. Ao comprar um software apenas com o intuito de disseminar um código malicioso, os criminosos subvertem essas expectativas e conseguem acesso fácil aos usuários que confiavam no software.

 

Fonte: G1