- Campanha de malware atinge cerca de 1.980 domínios WordPress em todo o mundo, segundo pesquisadores da GoDaddy Security.
- O malware usa comentários em perfis públicos da Steam como canal de comando e controle, lendo caracteres Unicode invisíveis para extrair instruções.
- Os dados ocultos geram uma URL para um arquivo JavaScript externo hospedado em domínio controlado pelos atacantes (exemplo citado: hello-mywordl.info).
- O script é carregado nas páginas infectadas e o malware armazena em cache as informações no Steam por cinco minutos para reduzir novas requisições.
- Além de carregar o script, há uma porta dos fundos no servidor que responde a requisições POST com cookies específicos, permitindo reescrever arquivos de plugins/temas do WordPress.
O grupo de pesquisadores da GoDaddy Security identificou uma campanha de malware que ataca sites WordPress ao mesmo tempo em que usa perfis públicos do Steam como canal de comando e controle. A atividade foi observada em cerca de 1.980 domínios infectados ao redor do mundo. A campanha permanece ativa e envolve técnicas de camuflagem para evitar detecção.
O funcionamento envolve comentários em perfis do Steam que contêm caracteres Unicode invisíveis. Esses caracteres parecem apenas parte do texto visível, mas carregam instruções usadas pelo malware ao carregar as páginas infectadas. O ataque não depende de um servidor malicioso próprio, mas sim dessas mensagens ocultas para orientar o funcionamento.
Além dos comentários ocultos, o malware também injeta um script externo em páginas WordPress comprometidas. Em uma amostra analisada, o arquivo JavaScript era hospedado em um domínio controlado pelos atacantes e disfarçado como uma biblioteca legítima. O objetivo é carregar a instrução de comando sem alertar o visitante.
Para dificultar a detecção, o código utiliza codificações hexadecimais e octais em textos internos, nomes de funções e endereços. Funções nativas do WordPress, como wp_enqueue_script, aparecem para parecer código legítimo em revisões superficiais. A GoDaddy não identificou uma vulnerabilidade específica do WordPress como ponto de entrada.
A porta dos fundos instalada no servidor permite respostas a requisições POST com cookies de autenticação. Um cookie funciona como confirmação, sinalizando que a porta está ativa, enquanto outro permite o envio de código PHP codificado para reescrever arquivos de plugins e temas. Mesmo com remoções parciais, o atacante pode reconstituir o ataque à distância se a porta permanecer ativa.
Plataformas legítimas como infraestrutura de ataque
O uso do Steam como intermediary não é incomum. Historicamente, hackers exploraram plataformas amplamente utilizadas para camuflar tráfego malicioso, dificultando a detecção. Em 2017, perfis de Instagram foram usados de forma semelhante; em 2018, o YouTube também serviu de canal; em 2024, o GitHub apareceu como vetor de disfarce.
Essa estratégia se baseia na percepção de confiabilidade associada a plataformas populares, reduzindo a chance de bloqueio imediato por ferramentas de monitoramento. A campanha ampliou a superfície de ataque por meio de redes de sites WordPress, aumentando o potencial de impactos.
O que fazer se o site for afetado
Administradores devem buscar referências ao domínio steamcommunity.com em arquivos de plugins e temas. Caracteres como U+200C, U+200D e U+2061 a U+2064 em strings são sinais de alerta. Requisições de saída para perfis do Steam também indicam infecção nos registros de rede.
A GoDaddy recomenda restaurar o site a partir de um backup limpo anterior à infecção. Limpezas parciais podem não eliminar a porta dos fundos, que pode reescrever o malware removido caso continue ativa no servidor.
Entre na conversa da comunidade