{"id":845135,"date":"2026-06-02T18:45:00","date_gmt":"2026-06-02T21:45:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/06\/02\/virus-para-wordpress-usa-comandos-ocultos-em-perfis-steam-para-ataques\/"},"modified":"2026-06-02T18:45:00","modified_gmt":"2026-06-02T21:45:00","slug":"virus-para-wordpress-usa-comandos-ocultos-em-perfis-steam-para-ataques","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/geral\/2026\/06\/02\/virus-para-wordpress-usa-comandos-ocultos-em-perfis-steam-para-ataques\/","title":{"rendered":"V\u00edrus para WordPress usa comandos ocultos em perfis Steam para ataques"},"content":{"rendered":"<p>O grupo de pesquisadores da GoDaddy Security identificou uma campanha de malware que ataca sites WordPress ao mesmo tempo em que usa perfis p\u00fablicos do Steam como canal de comando e controle. A atividade foi observada em cerca de 1.980 dom\u00ednios infectados ao redor do mundo. A campanha permanece ativa e envolve t\u00e9cnicas de camuflagem para evitar detec\u00e7\u00e3o.<\/p>\n<p>O funcionamento envolve coment\u00e1rios em perfis do Steam que cont\u00eam caracteres Unicode invis\u00edveis. Esses caracteres parecem apenas parte do texto vis\u00edvel, mas carregam instru\u00e7\u00f5es usadas pelo malware ao carregar as p\u00e1ginas infectadas. O ataque n\u00e3o depende de um servidor malicioso pr\u00f3prio, mas sim dessas mensagens ocultas para orientar o funcionamento.<\/p>\n<p>Al\u00e9m dos coment\u00e1rios ocultos, o malware tamb\u00e9m injeta um script externo em p\u00e1ginas WordPress comprometidas. Em uma amostra analisada, o arquivo JavaScript era hospedado em um dom\u00ednio controlado pelos atacantes e disfar\u00e7ado como uma biblioteca leg\u00edtima. O objetivo \u00e9 carregar a instru\u00e7\u00e3o de comando sem alertar o visitante.<\/p>\n<p>Para dificultar a detec\u00e7\u00e3o, o c\u00f3digo utiliza codifica\u00e7\u00f5es hexadecimais e octais em textos internos, nomes de fun\u00e7\u00f5es e endere\u00e7os. Fun\u00e7\u00f5es nativas do WordPress, como wp_enqueue_script, aparecem para parecer c\u00f3digo leg\u00edtimo em revis\u00f5es superficiais. A GoDaddy n\u00e3o identificou uma vulnerabilidade espec\u00edfica do WordPress como ponto de entrada.<\/p>\n<p>A porta dos fundos instalada no servidor permite respostas a requisi\u00e7\u00f5es POST com cookies de autentica\u00e7\u00e3o. Um cookie funciona como confirma\u00e7\u00e3o, sinalizando que a porta est\u00e1 ativa, enquanto outro permite o envio de c\u00f3digo PHP codificado para reescrever arquivos de plugins e temas. Mesmo com remo\u00e7\u00f5es parciais, o atacante pode reconstituir o ataque \u00e0 dist\u00e2ncia se a porta permanecer ativa.<\/p>\n<h2>Plataformas leg\u00edtimas como infraestrutura de ataque<\/h2>\n<p>O uso do Steam como intermediary n\u00e3o \u00e9 incomum. Historicamente, hackers exploraram plataformas amplamente utilizadas para camuflar tr\u00e1fego malicioso, dificultando a detec\u00e7\u00e3o. Em 2017, perfis de Instagram foram usados de forma semelhante; em 2018, o YouTube tamb\u00e9m serviu de canal; em 2024, o GitHub apareceu como vetor de disfarce.<\/p>\n<p>Essa estrat\u00e9gia se baseia na percep\u00e7\u00e3o de confiabilidade associada a plataformas populares, reduzindo a chance de bloqueio imediato por ferramentas de monitoramento. A campanha ampliou a superf\u00edcie de ataque por meio de redes de sites WordPress, aumentando o potencial de impactos.<\/p>\n<h2>O que fazer se o site for afetado<\/h2>\n<p>Administradores devem buscar refer\u00eancias ao dom\u00ednio steamcommunity.com em arquivos de plugins e temas. Caracteres como U+200C, U+200D e U+2061 a U+2064 em strings s\u00e3o sinais de alerta. Requisi\u00e7\u00f5es de sa\u00edda para perfis do Steam tamb\u00e9m indicam infec\u00e7\u00e3o nos registros de rede.<\/p>\n<p>A GoDaddy recomenda restaurar o site a partir de um backup limpo anterior \u00e0 infec\u00e7\u00e3o. Limpezas parciais podem n\u00e3o eliminar a porta dos fundos, que pode reescrever o malware removido caso continue ativa no servidor.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Campanha de malware atinge cerca de 1.980 dom\u00ednios WordPress em todo o mundo, segundo pesquisadores da GoDaddy Security.<\/li>\n<li>O malware usa coment\u00e1rios em perfis p\u00fablicos da Steam como canal de comando e controle, lendo caracteres Unicode invis\u00edveis para extrair instru\u00e7\u00f5es.<\/li>\n<li>Os dados ocultos geram uma URL para um arquivo JavaScript externo hospedado em dom\u00ednio controlado pelos atacantes (exemplo citado: hello-mywordl.info).<\/li>\n<li>O script \u00e9 carregado nas p\u00e1ginas infectadas e o malware armazena em cache as informa\u00e7\u00f5es no Steam por cinco minutos para reduzir novas requisi\u00e7\u00f5es.<\/li>\n<li>Al\u00e9m de carregar o script, h\u00e1 uma porta dos fundos no servidor que responde a requisi\u00e7\u00f5es POST com cookies espec\u00edficos, permitindo reescrever arquivos de plugins\/temas do WordPress.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":845182,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Malware ataca WordPress: caracteres invis\u00edveis em coment\u00e1rios de perfis Steam transmitem instru\u00e7\u00f5es e acionam porta dos fundos no servidor","footnotes":""},"categories":[298,1],"tags":[84,104,218,86,95,189],"class_list":["post-845135","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-comunidade","tag-internet","tag-redes-sociais","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/845135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=845135"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/845135\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/845182"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=845135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=845135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=845135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}