By Cybersecurity, Malware, WordpressLeave a Comment on šŸ”„ Malwares mais conhecidos em WordPress (2024/2025)

1. WP-VCD

  • šŸ¦  DescriĆ§Ć£o: Malware extremamente popular que cria backdoors em functions.php dos temas.
  • šŸš© AĆ§Ć£o: Cria usuĆ”rios maliciosos, injeta spam SEO, ativa redirecionamentos para sites de fraude e pornografia.
  • šŸ”„ PersistĆŖncia: Restaura-se mesmo apĆ³s remoĆ§Ć£o, se nĆ£o limpo corretamente.
  • šŸ“‚ LocalizaĆ§Ć£o comum: /wp-includes/, /wp-content/themes/, /wp-content/plugins/.

2. Balada Injector

  • šŸ¦  DescriĆ§Ć£o: Uma campanha massiva de malware ativa desde 2017.
  • šŸš© AĆ§Ć£o: Redirecionamento para sites de scam, fraude, tech support scam, e instalaĆ§Ć£o de outros malwares.
  • šŸ”— Afeta: WordPress, Joomla, Drupal, e outros CMSs.
  • šŸ”„ TĆ©cnica: ExploraĆ§Ć£o automĆ”tica de vulnerabilidades conhecidas em plugins e temas.

3. Japanese SEO Spam (Spam Black Hat SEO)

  • šŸ¦  DescriĆ§Ć£o: InjeĆ§Ć£o de pĆ”ginas falsas em japonĆŖs para vendas de produtos falsificados.
  • šŸš© AĆ§Ć£o: Afeta SEO, aparecendo como spam em resultados de busca.
  • šŸ”„ IndĆ­cio: Google Search mostra pĆ”ginas com caracteres japoneses no domĆ­nio afetado.
  • šŸ“‚ LocalizaĆ§Ć£o comum: wp-content/uploads/, wp-includes/.

4. NDSW/NDSX Malware Family

  • šŸ¦  DescriĆ§Ć£o: InjeĆ§Ć£o de JavaScript no cabeƧalho ou rodapĆ©.
  • šŸš© AĆ§Ć£o: Carrega scripts externos de adware, phishing ou malware.
  • šŸ”„ Assinatura: Geralmente comeƧa com var ndsw = ....
  • šŸ“œ TĆ©cnica: ObfuscaĆ§Ć£o pesada do JavaScript.

5. Fake Plugins (Plugins Falsos)

  • šŸ¦  DescriĆ§Ć£o: CriaĆ§Ć£o de plugins falsos com nomes semelhantes aos legĆ­timos.
  • šŸš© AĆ§Ć£o: Backdoors, shells PHP, mineradores de criptomoedas ou phishing.
  • šŸ“‚ LocalizaĆ§Ć£o: /wp-content/plugins/ (com nomes como wp-security, seo-tool, siteoptimizer, etc.).
  • šŸ”„ TĆ”tica: Desabilitam logs, desabilitam atualizaƧƵes e ocultam presenƧa.

6. Mailer Spam Script

  • šŸ¦  DescriĆ§Ć£o: Scripts PHP que transformam o WordPress em servidor de envio massivo de spam.
  • šŸš© AĆ§Ć£o: Envio de phishing, golpes bancĆ”rios, spam geral.
  • šŸ”„ LocalizaĆ§Ć£o: wp-content/uploads/ ou backdoors disfarƧados de imagens ou PDFs.

7. WordFence Backdoor Variants

  • šŸ¦  DescriĆ§Ć£o: NĆ£o estĆ” ligado ao plugin Wordfence, mas usa nomes parecidos.
  • šŸš© AĆ§Ć£o: Cria um backdoor remoto e shell.
  • šŸ”„ TĆ©cnica: PHP obfuscado que permite execuĆ§Ć£o remota de comandos, upload de arquivos, etc.

8. WSO Shell / r57 / b374k (Generic PHP Shells)

  • šŸ¦  DescriĆ§Ć£o: Webshells PHP universais, muito usados por atacantes.
  • šŸš© AĆ§Ć£o: Controle completo do servidor (upload, download, execuƧƵes de comandos, backdoors).
  • šŸ“‚ LocalizaĆ§Ć£o: Escondido como arquivo de imagem, plugin ou tema.
  • šŸ”„ Assinatura: Muitas vezes visĆ­vel em index.php, functions.php, 404.php ou arquivos como wp-config.php.back.

9. Cryptojacking Malware (Mineradores)

  • šŸ¦  DescriĆ§Ć£o: InjeĆ§Ć£o de JavaScript para minerar criptomoedas (geralmente Monero) nos navegadores dos visitantes.
  • šŸš© AĆ§Ć£o: Aumenta uso de CPU dos visitantes do site.
  • šŸ”„ Local: Geralmente em header.php, footer.php ou arquivos JS remotos.

10. Redirect Malware (Malvertising)

  • šŸ¦  DescriĆ§Ć£o: Malware que redireciona visitantes para sites de phishing, pornografia, jogos de azar ou fraudes.
  • šŸš© AĆ§Ć£o: Ocorre apenas para visitantes humanos (bypass para bots e crawlers).
  • šŸ”„ LocalizaĆ§Ć£o: header.php, functions.php, ou via banco de dados (wp_options ou posts).

šŸš© Locais comuns de malware no WordPress

  • /wp-content/themes/
  • /wp-content/plugins/
  • /wp-content/uploads/
  • /wp-includes/
  • Banco de dados (wp_options, wp_posts com payload JS, iframes ou base64)

Precisando de anĆ”lise e remoĆ§Ć£o?

Fale conosco agora mesmo!

Leave a Reply

Your email address will not be published. Required fields are marked *