- Rapid7 descobre campanha de sequestro de WordPress em grande escala
- O falso CAPTCHA da Cloudflare engana os visitantes para que executem malware
- Mais de 250 sites foram comprometidos, incluindo a página de um candidato ao Senado dos EUA
Especialistas alertam que os cibercriminosos estão sequestrando sites WordPress vulneráveis a torto e a direito e transformando-os em plataformas de lançamento para propagação de malware.
Os pesquisadores de segurança do Rapid7 dizem que detectaram uma campanha automatizada em grande escala que afetou até mesmo um candidato não identificado ao Senado dos EUA.
Segundo os pesquisadores, os criminosos primeiro vasculham a web em busca de sites WordPress vulneráveis. Pode ser uma série de coisas, desde temas não corrigidos e plug-ins do WordPress com soluções de exploração usadas para obter acesso inicial, até credenciais de login de administrador padrão ou ruins.
O artigo continua abaixo
Implantando um infostealer
A campanha provavelmente começou em dezembro de 2025 e até agora afetou mais de 250 sites em todo o mundo.
Uma vez lá dentro, os bandidos fariam o possível para não dar o alarme. Nada muda no site; a única coisa que eles fazem é adicionar um CAPTCHA Cloudflare falso na primeira visita. Essa prática é tão comum e comum que a maioria das pessoas não pensa duas vezes, completa o quebra-cabeça, confirma que não é um robô e segue em frente com seu dia.
Mas a forma como os usuários são solicitados a resolver o CAPTCHA deve ser um grande sinal de alerta. Em vez de clicar em uma caixa ou deslizar um controle deslizante, eles são solicitados a copiar e colar um comando no Windows Run, no clássico estilo ClickFix.
Então, em vez de provar que são humanos, os visitantes acabam baixando e executando eles próprios o malware. Neste caso, um infostealer projetado para infiltrar credenciais de login, cookies de autenticação, informações de carteira de criptomoeda e outros dados confidenciais.
Rapid7 afirma que a campanha é altamente automatizada e não tem como alvo nenhum setor específico. Meios de comunicação locais, sites de pequenas empresas e até mesmo o site oficial de um candidato ao Senado dos EUA estavam entre os casos confirmados.
“A execução em larga escala do comprometimento em instâncias WordPress completamente não relacionadas sugere um alto nível de automação por parte dos atores da ameaça e é provavelmente parte de um esforço criminoso organizado de longo prazo”, disse Rapid7 em seu relatório.
Através registro
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
