Nos últimos meses, pesquisadores detectaram uma frebre de atacar sites WordPress, onde criminosos exploram falhas para injetar scripts nocivos. Esses scripts são empregados para redirecionar usuários a conteúdos fraudulentos, enquanto a infraestrutura dos ataques aproveita redes de publicidade digital legítima para mascarar suas ações.”
A Evolução dos ataques: De VexTrio a Help TDS
Após o desmantelamento da rede maliciosa VexTrio, identificada como uma das maiores operadores de campanhas de malware via WordPress, as atividades rapidamente migraram para outra rede chamada Help TDS.
Em questão de dias, milhares de sites comprometidos atualizaram os seus mecanismos de redirecionamento, garantindo a continuidade das operações criminosas sem interrupções notáveis.
Como funciona atacar sites WordPress?
Os cibercriminosos exploram brechas em plugins ou temas do WordPress, injetando scripts de difícil detecção. Esses scripts executam consultas DNS, buscando nos registros TXT instruções que apontam para os destinos fraudulentos, usando informações do visitante para personalizar a resposta do servidor de comando e controle (C2). Toda a comunicação ocorre via DNS — camada menos monitorada pelas proteções convencionais.
Entre as campanhas mais sofisticadas está o malware DollyWay, que, desde 2016, já comprometeu dezenas de milhares de sites WordPress no mundo. A ameaça passa a redirecionar o tráfego de sites legítimos para plataformas que distribuem phishing, golpes e aplicativos falsos, monetizando o tráfego dos visitantes.
Ecossistema das redes de afiliados maliciosos
Essas operações são sustentadas por uma rede de empresas de tecnologia de anúncios — Adtech — que, mesmo alegando independência, compartilham infraestrutura e técnicas. Portais como Partners House, BroPush e RichAds participam dessas cadeias, conectando distribuidores de malware a programas de afiliados.
Os criminosos são remunerados conforme as ações dos usuários redirecionados, como a submissão de informações pessoais ou interação com ofertas fraudulentas.
A movimentação financeira baseada em criptomoedas e o recrutamento de afiliados via canais fechados como Telegram criam um rastro que teoricamente pode ser seguido por órgãos de investigação, tornando esse elo comercial um possível ponto de fragilidade para o crime organizado digital.
Recomendações para defesa
Para administradores de sites WordPress, as melhores práticas incluem:
- Manter o CMS, plugins e temas sempre atualizados;
- Monitorar a integridade de arquivos do site em busca de alterações não autorizadas;
- Usar firewalls de aplicação web (WAF) e soluções de monitoramento DNS para identificar padrões de consultas suspeitas;
- Focar especialmente em consultas para registros TXT DNS que possam sinalizar comunicação com servidores C2 maliciosos.
Para usuários finais:
- Manter navegadores atualizados;
- Evitar aceitar notificações push de sites desconhecidos;
- Desconfiar de CAPTCHAs fora do padrão ou ofertas muito vantajosas.
Essas ações garantem que todas as medidas sejam tomadas para evitar problemas de segurança sobre o assunto. É essencial que essas práticas sejam aplicadas.
O Papel da colaboração
A cooperação entre empresas de segurança e as adtechs é fundamental para conter a proliferação dessas campanhas de atacar sites WordPress. O acesso aos dados de identificação dos operadores de malware, retidos por empresas afiliadas, pode ser decisivo para responsabilizar criminalmente os envolvidos e desarticular redes semelhantes no futuro
Conclusão sobre atacar sites WordPress
Os ataques recentes evidenciam que sites WordPress continuam sendo alvo de campanhas sofisticadas de redirecionamento malicioso, impulsionadas pela injeção de scripts em plugins vulneráveis e pelo uso de redes de publicidade para mascarar atividades criminosas.
Mesmo após o desmantelamento de grandes operações como a VexTrio, os cibercriminosos rapidamente migraram para novas infraestruturas, mostrando elevada capacidade de adaptação.
O uso de métodos como registros DNS TXT e supply chain nos plugins amplia o alcance dos ataques e dificulta a detecção por soluções tradicionais de segurança.
A conjugação de práticas preventivas, como atualização constante de plugins e monitoramento DNS, além da colaboração entre empresas de segurança e adtech, é vital para mitigar riscos e dificultar a monetização das fraudes