O WordPress é amplamente utilizado como plataforma de gerenciamento de conteúdo online, com mais de 43% de todos os sites operando através dele. Portanto, qualquer novo ataque direcionado a sites WordPress é motivo de preocupação devido à sua grande presença na web.
Conforme indicado em um recente relatório do GTIG do Google, um novo agente de ameaça conhecido como UNC5142 conseguiu invadir sites WordPress com êxito, empregando uma estratégia inovadora para disseminar malware pela internet. Segundo o relatório, o UNC5142 identifica sites WordPress vulneráveis, frequentemente explorando falhas em temas, plugins ou bases de dados do WordPress.
Os sites específicos do WordPress teriam sido alvo de infecção por um downloader de JavaScript em várias etapas que dissemina malware. Em seguida, o grupo de ameaças utilizaria uma nova técnica denominada “EtherHiding”, acionada pela CLEARSHORT.
O Google define EtherHiding como uma estratégia para esconder código prejudicial ao colocá-lo em um blockchain público, como a BNB Smart Chain. Essa prática de utilizar o blockchain para disseminar código malicioso é incomum e torna a detecção de malware mais desafiadora.
O contrato inteligente com código no blockchain referiria a uma página de destino CLEARSHORT, geralmente encontrada em um ambiente Cloudflare dev, que utiliza uma estratégia de engenharia social chamada ClickFix. Essa estratégia manipula os visitantes do site para executar ações maliciosas em seus computadores por meio da caixa de diálogo Run do Windows ou do aplicativo Terminal do Mac.
- Novo método de ataque chamado ‘Pixnapping’ possibilita que invasores roubem conversas do Android e códigos de autenticação de dois fatores em questão de segundos.
- O Departamento de Justiça descreve um golpe de anel de açougue no valor de $15 bilhões: Fazendas de telefone, campos de trabalho forçados e uma obra de arte de Picasso obtida de forma ilícita.
- Qual é a gravidade do hack no Discord? Informações importantes que você deve ter em mente.
- Os nova-iorquinos estão sendo atingidos por golpes de reembolso de inflação. Descubra como denunciar.
De acordo com o Google, os ataques realizados pelo UNC5142 são frequentemente impulsionados por motivos financeiros. A GTIG tem monitorado as atividades do UNC5142 desde 2023. No entanto, o Google observa que o UNC5142 interrompeu abruptamente todas as suas operações em julho de 2025.
Isso pode indicar que esse novo conjunto de atores de ameaça, que tem executado com êxito suas campanhas de malware, simplesmente decidiu interrompê-las. Ou pode indicar que o ator de ameaça modificou suas táticas, conseguindo ocultar suas ações mais recentes com sucesso, e ainda está invadindo sites vulneráveis atualmente.
Tópicos relevantes incluem a segurança online.
