Os analistas de segurança da Internet detectaram um aumento nas infecções de backdoor em sites WordPress hospedados no serviço Managed WordPress da GoDaddy, todos apresentando uma carga de backdoor idêntica.
O caso afeta revendedores de serviços de Internet, como MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet e Host Europe Managed WordPress.
A descoberta vem do Wordfence, cuja equipe observou pela primeira vez a atividade maliciosa em 11 de março de 2022, com 298 sites infectados pelo backdoor em 24 horas, 281 dos quais hospedados no GoDaddy.
Spammer de modelo antigo
O backdoor que infecta todos os sites é uma ferramenta de envenenamento de SEO de pesquisa do Google de 2015 implantada no wp-config.php para buscar modelos de links de spam do C2 que são usados para injetar páginas maliciosas nos resultados de pesquisa.
O objetivo desses modelos é atrair as vítimas a fazer compras de produtos falsos, perdendo dinheiro e detalhes de pagamento para os agentes da ameaça.
Além disso, os atores podem prejudicar a reputação de um site alterando seu conteúdo e tornando a violação evidente, mas esse não parece ser o objetivo dos atores no momento.
Esse tipo de ataque é mais difícil de detectar e parar do lado do usuário, pois isso ocorre no servidor e não no navegador e, como tal, as ferramentas locais de segurança da Internet não detectarão nada suspeito.
Ataque à cadeia de suprimentos?
O vetor de intrusão não foi determinado, portanto, embora pareça suspeitosamente próximo a um ataque à cadeia de suprimentos, não foi confirmado.
A Bleeping Computer entrou em contato com a GoDaddy para saber mais sobre essa possibilidade, mas ainda não recebemos uma resposta.
Notavelmente, a GoDaddy divulgou uma violação de dados em novembro de 2021 que afetou 1,2 milhão de clientes e vários revendedores de serviços Managed WordPress, incluindo os seis mencionados na introdução.
Essa violação envolveu acesso não autorizado ao sistema que provisiona os sites Managed WordPress da empresa. Como tal, não é exagero sugerir que as duas ocorrências possam estar vinculadas.
De qualquer forma, se o seu site estiver hospedado na plataforma Managed WordPress da GoDaddy, verifique seu arquivo wp-config.php para localizar possíveis injeções de backdoor.
O Wordfence também lembra aos administradores que, embora a remoção do backdoor deva ser o primeiro passo, a remoção dos resultados do mecanismo de pesquisa de spam também deve ser uma prioridade.
Veja mais sobe o vazamento da GoDaddy:
GoDaddy anuncia incidente de segurança que afeta o serviço WordPress gerenciado
Serviço de hospedagem GoDaddy sofre vazamento e expõe dados de usuários do WordPress
Fonte: Bleeping Computer
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
