Cuidado! Sites WordPress infectam usu√°rios com Spyware

Spyware e PUAs (aplicativos potencialmente indesejados) s√£o transmitidos de sites comprometidos do WordPress para usu√°rios, atrav√©s de mensagens falsas que solicitam atualiza√ß√Ķes em Flash e plugins de navegador falsos.

Pesquisadores do Zscaler descobriram uma campanha de distribuição de spyware baseada em sites wordpress invadidos, que redireciona os usuários para endereços de URL infectados.

Segundo suas descobertas, a campanha foi lançada desde a primeira semana de agosto, com um total de mais de 2.000 sites sendo invadidos e mais de 20.000 usuários infectados.

Com um olhar mais atento aos sites infectados, os pesquisadores descobriram que est√£o executando a vers√£o mais recente do WordPress CMS, vers√£o 4.3.1. Sendo a vers√£o mais recente e mais segura, a equipe do Zscaler estima que a maioria dos sites foi infectada com vers√Ķes mais antigas antes da atualiza√ß√£o do kernel.

Na campanha mais recente identificada, os sites segmentados est√£o transmitindo c√≥digo javascript malicioso aos usu√°rios. Quando o c√≥digo √© executado no navegador do usu√°rio, ele carrega um iframe e, por sua vez, carrega mais c√≥digo JavaScript que permite a coleta e intercepta√ß√£o de informa√ß√Ķes dos computadores das v√≠timas, que s√£o enviadas para um servidor C&C.

Quando os dados são coletados pelo sistema local e enviados ao servidor C&C, o usuário é redirecionado para um site que, na maioria das vezes, é solicitado a instalar uma atualização falsa no Adobe Flash Player. Caso o usuário instale, na verdade ele instalou uma variante do Win32.InstallCore PUA.

Depois de instalar o malware, o usuário redireciona para o site real da Adobe, onde é informado de que a instalação do Flash Player falhou e é solicitado a tentar novamente, desta vez da fonte original e original.

Os pesquisadores da Zscaler também observaram que, em alguns casos, em vez de atualizar falsamente a versão do Adobe Flash Player, os usuários foram solicitados a instalar vários complementos de navegador.

Embora todo esse software (spyware, scareware, adware e PUAs) seja de espionagem de baixo nível, ainda é perigoso, principalmente porque pode ser usado posteriormente como pontos de entrada para malware mais nocivo. Isso ocorre porque quase todos os malwares modernos atualmente têm a capacidade de baixar outros vírus e cavalos de Troia para computadores já infectados.