Descoberta e panorama
Pesquisadores identificaram uma campanha que substitui páginas legítimas por diretórios falsos com conteúdo de spam, redirecionando visitantes e motores de busca para landing pages de cassinos. A variante mais avançada combina inserção de payloads em arquivos de tema e plugin com armazenamento do código malicioso no banco de dados do WordPress, dificultando a detecção e a remoção.
Abordagem técnica
O ataque explora como servidores Apache e Nginx resolvem paths de filesystem antes de passar requisições para o mecanismo de rewrite do WordPress. Em uma implementação documentada, o código malicioso é plantado no functions.php do tema e busca uma opção do banco de dados chamada wp_footers_logic, que contém um payload codificado em base64. Esse payload é decodificado e executado via eval() quando presente; se eval() estiver desabilitado, há fallback que grava o código em wp-content/cache/style.dat.
O payload monitora requisições e, para URLs específicas, retorna conteúdo de spam armazenado em diretórios cloaked ou busca conteúdo de domínios controlados pelos atacantes (por exemplo, browsec[.]xyz). Para garantir reinfecção, os operadores plantam código em múltiplos plugins; um trecho rotineiramente procura por marcadores distintivos e, caso ausentes, reanexa o payload tanto ao functions.php quanto ao arquivo principal do primeiro plugin ativo.
Vetores e técnicas de evasão
- Cloaking: criação de diretórios com nomes idênticos aos originais para enganar servidores e motores de busca.
- Persistência múltipla: código em tema, plugins e banco de dados para sobreviver a remoções parciais.
- Execução dinâmica: uso de base64 + eval() e fallback em arquivo cache para contornar restrições de execução.
- Conteúdo remoto: fetching dinâmico de conteúdo de domínios controlados pelos atacantes.
Impacto e quem é afetado
A campanha mira sites WordPress vulneráveis, área ampla do ecossistema web — desde blogs institucionais até portais de pequeno e médio porte que não aplicam atualizações de tema/plugin. O efeito imediato é reputacional (sites passam a indexar e exibir conteúdo indesejado) e operacional (a experiência do usuário é redirecionada para páginas de terceiros). As fontes não quantificam um número absoluto de sites afetados nesta variante.
Mitigações práticas
As medidas recomendadas incluem:
- Auditoria de arquivos de tema e plugin em busca de código injetado — especialmente no final de functions.php.
- Verificação de opções anômalas no banco de dados, procurando nomes não usuais como wp_footers_logic ou outras chaves codificadas.
- Revisão de permissões de escrita em diretórios e bloqueio de gravação em tempo de execução para arquivos sensíveis quando viável.
- Restauração a partir de backup limpo e varredura completa por reinfecções antes de recolocar o site no ar.
Limites das informações
As análises descrevem o vetor e os artefatos observados, mas as fontes disponíveis não detalham métricas de escala (contagem total de domínios comprometidos) nem a origem exata das brechas iniciais (CVE/versão específica de plugin/tema). Também não há atribuição a um ator identificado — as evidências técnicas focam na infraestrutura e nos mecanismos de persistência.
Repercussão e próximos passos
Organizações que mantêm sites WordPress devem priorizar patches, monitoramento de integridade de arquivos e auditorias de configuração de servidor web. Times de resposta a incidentes e provedores de hospedagem precisam coordenar a remoção completa dos artefatos em múltiplas camadas (DB, temas, plugins, cache) para evitar reinfecções automáticas. A atenção ao fenômeno é relevante para administradores de sites que dependem de SEO orgânico; sem ação, a campanha pode degradar tráfego legítimo e credibilidade dos domínios comprometidos.