A equipe de resposta a incidentes do Wordfence descobriu recentemente que centenas de sites hospedados no serviço WordPress gerenciado da GoDaddy estão infectados com a mesma carga de backdoor.
Para a ocorrência deste incidente, vários revendedores de serviços de internet populares foram afetados, e aqui estão eles: -
- MediaTemple
- tsoHost
- 123Reg
- Fábrica de domínio
- Internet do coração
- Hospedar sites WordPress gerenciados na Europa
No total, foram descobertos 298 sites comprometidos e, entre esses sites, há 281 sites hospedados no GoDaddy. Ao mesmo tempo, os analistas de segurança cibernética da empresa de segurança Wordfence alegaram que esse incidente foi observado pela primeira vez em 11 de março de 2022.
Aqui abaixo no gráfico, você pode ver o aumento geral nos sites infectados: -
Porta dos fundos
Desde 2015, esse backdoor está em uso e ativamente explorado pelos agentes de ameaças, pois esse backdoor permite que os invasores gerem resultados de pesquisa com spam no Google, e não apenas isso também inclui os recursos personalizados para o site infectado.
Do C2 para buscar modelos de links de spam que são explorados para se infiltrar em páginas maliciosas nos resultados de pesquisa, os agentes de ameaças implantam esse backdoor no wp-config.php.
Ao contrário do conteúdo real, os agentes de ameaças usam principalmente modelos de spam farmacêutico nesse tipo de campanha. Esses modelos de spam destinam-se a incitar as vítimas a comprar produtos falsos, expondo assim dinheiro e detalhes de pagamento aos agentes da ameaça.
Como esse tipo de ataque ocorre no servidor em vez do navegador da Web, eles se tornam mais difíceis de detectar e parar do lado do usuário. Em resumo, seus trajes locais de segurança da Internet não detectarão esses ataques.
Ataque e recomendação
Embora isso pareça suspeitosamente próximo de um ataque à cadeia de suprimentos, o fato é que o vetor de intrusão ainda não foi identificado.
Até 1,2 milhão de clientes WordPress da GoDaddy foram afetados por um ataque não autorizado nos sites Managed WordPress da empresa no ano passado, em novembro de 2021.
No entanto, os pesquisadores de segurança cibernética da Wordfence recomendaram fortemente que os usuários verifiquem imediatamente o arquivo wp-config.php para detectar possíveis injeções de backdoor se o seu site estiver hospedado na plataforma Managed WordPress da GoDaddy.
