Uma campanha de malware recém-descoberta que visa sites WordPress levantou sérias preocupações na comunidade de segurança da web. Os atacantes por trás desta campanha estão utilizando um método inesperado para se comunicar com sites infectados, escondendo instruções de comando dentro de comentários de perfis da Comunidade Steam, transformando uma plataforma de jogos popular em um canal de controle furtivo.
Descoberta e escopo da campanha
Os pesquisadores de segurança da GoDaddy identificaram esta campanha, notando que ela foi detectada pela primeira vez em julho de 2024 e, desde então, foi encontrada em aproximadamente 1.900 sites WordPress. A campanha, rastreada sob o manuseio "bandcampro", começou em 6 de fevereiro de 2021, um mês após o ataque ao Capitólio, quando as comunidades QAnon e MAGA estavam sendo desmonetizadas e migrando para o Telegram.
O que torna esta campanha particularmente difícil de detectar é como o malware esconde seus payloads. Ele usa caracteres Unicode invisíveis, uma técnica conhecida como esteganografia, para codificar dados maliciosos dentro do texto de comentários de perfis do Steam. Como esses caracteres ocultos parecem texto completamente normal na superfície, ferramentas de varredura baseadas em texto são muito menos propensas a capturá-los durante verificações de rotina.
Operação de comando e controle via Steam
O núcleo deste ataque depende de uma função PHP incorporada na instalação WordPress comprometida. Quando qualquer página do site infectado é carregada, o malware envia uma solicitação HTTP para uma página de perfil da Comunidade Steam usando cURL, raspa o texto de comentários desse perfil e decodifica payloads ocultos embutidos nele.
O malware foi observado buscando perfis como steamcommunity.com/profiles/76561199096946028 e armazena o conteúdo extraído usando transientes do WordPress com uma janela de expiração de cinco minutos. O dado decodificado torna-se uma URL JavaScript injetada em cada página front-end via o hook wp_enqueue_script, sob o nome de manuseio enganoso "asahi-jquery-min-bundle", projetado para imitar uma biblioteca legítima.
Backdoor furtiva permite execução remota de código
O componente do lado do servidor é tão perigoso quanto a injeção front-end. Uma função de backdoor registrada através do hook template_redirect do WordPress escuta solicitações POST contendo cookies de autenticação específicos. Quando esses cookies estão presentes, a backdoor ou confirma que está ativa retornando uma string de versão, ou aceita código PHP codificado em base64 e reescreve arquivos de plugins e temas em toda a instalação WordPress.
Esta capacidade de execução remota de código significa que, mesmo que um proprietário do site remova parte da infecção, os atacantes podem reinstalar o código excluído através da backdoor ainda ativa. O malware protege este canal usando criptografia AES-256-CTR com derivação de chave PBKDF2 baseada em SHA-512 e 10.000 iterações, juntamente com autenticação HMAC-SHA256 para verificar cada payload recebido.
Indicadores de comprometimento (IoCs)
Os seguintes indicadores foram identificados pelos pesquisadores e devem ser monitorados por equipes de segurança:
- URLs de Perfil Steam:
steamcommunity.com/profiles/76561199096946028,steamcommunity.com/id/ravypadliha,steamcommunity.com/id/enomisvool123,steamcommunity.com/id/eremohnf342 - Domínio de Payload:
hello-myworld[.]info - Nome de Cookie:
DEpjndDbNc(ping/keepalive),tEcaKKXEsb(execução remota) - Caminho de Arquivo:
/wp-content/themes/gt3-child/functions.php - Nome de Manuseio:
asahi-jquery-min-bundle - Prefixo de Transiente:
transient_caption - Funções PHP:
Ce8d26cADf211699,EdF20922Ff709e68,G7jp2L84mnVc4LNW9wcbZcaVFAyC9N72,mpzZYIbGOb
Medidas de mitigação recomendadas
Administradores de sites que suspeitam de uma infecção devem habilitar o modo de manutenção imediatamente e fazer backup da instalação comprometida antes de fazer qualquer alteração. Todas as credenciais do WordPress, incluindo senhas de administrador, acesso ao banco de dados, credenciais FTP e chaves SSH, devem ser rotacionadas. A limpeza deve cobrir todos os arquivos de plugins e temas, já que a remoção parcial não é suficiente dada a capacidade da backdoor de restaurar remotamente o código excluído.
Entradas de cache de transiente suspeitas com o prefixo transient_caption e scripts externos enfileirados apontando para domínios desconhecidos devem ser removidos. A integração de feeds de inteligência de ameaças em plataformas SIEM/SOAR pode automatizar a correlação de ameaças e reduzir a carga dos analistas.
Conclusão
Esta campanha destaca a necessidade de monitoramento contínuo de sites WordPress e a adoção de práticas de segurança robustas. O uso de plataformas legítimas como a Steam para C2 demonstra a evolução das táticas de atacantes para evadir detecção. CISOs e equipes de SOC devem priorizar a verificação de integridade de arquivos e o monitoramento de tráfego de saída para domínios incomuns.