Pesquisadores de cibersegurança identificaram uma nova campanha maliciosa que tem como alvo sites WordPress, usando um plugin falso de segurança chamado “WP-antymalwary-bot.php”. Disfarçado como um recurso de proteção, o plugin concede acesso administrativo remoto a cibercriminosos e permite a execução de códigos maliciosos no servidor.
O plugin é capaz de se ocultar do painel de administração e se comunicar com um servidor de comando e controle (C&C). Ele também injeta scripts JavaScript para exibir anúncios fraudulentos e se propaga por outras pastas do site. Desde sua descoberta em janeiro de 2025, variantes com nomes como “addons.php”, “wpconsole.php” e “scr.php” foram encontradas. O malware utiliza a REST API do WordPress para injetar código PHP no tema do site e manipular plugins de cache. Uma versão mais recente carrega scripts maliciosos de domínios comprometidos. Mesmo se removido, um arquivo “wp-cron.php” recria o malware automaticamente na próxima visita ao site.
A origem dos ataques ainda é incerta, mas indícios em russo sugerem envolvimento de agentes russófonos. Outras campanhas também foram detalhadas. Uma delas usa um domínio falso de fontes (“italicfonts[.]org”) para inserir formulários de pagamento falsos e roubar dados de cartões em lojas virtuais. Já em portais Magento, um ataque avançado com JavaScript usa arquivos GIF falsos e proxies reversos para extrair dados sensíveis como senhas e cookies. Além disso, ao menos 17 sites WordPress foram comprometidos com códigos do Google AdSense injetados por criminosos, desviando receitas de anúncios. Outras páginas foram manipuladas para exibir CAPTCHAs falsos que, ao serem clicados, instalam trojans em Node.js com acesso remoto total.
