Novo malware do WordPress se esconde nas páginas de checkout e imita o Cloudflare

Pesquisadores de segurança cibernética descobriram uma campanha de malware altamente avançada que tem como alvo sites WordPress , capaz de roubar detalhes de cartão de crédito, logins de usuários e até mesmo criar perfis de vítimas.

Descoberto em 16 de maio de 2025 pela Equipe de Inteligência de Ameaças do Wordfence, este malware se apresenta como um plugin WordPress enganoso e utiliza métodos de antidetecção nunca antes vistos. Uma tática particularmente inovadora envolve hospedar um sistema de gerenciamento ativo diretamente nos sites infectados, dificultando sua detecção.

Esta sofisticada operação está ativa desde pelo menos setembro de 2023, revela a publicação oficial do blog do Wordfence. Os pesquisadores analisaram mais de 20 amostras do malware, revelando características comuns em todas as versões, incluindo embaralhamento de código, técnicas para evitar análises e maneiras de detectar ferramentas de desenvolvedor.

Por exemplo, o malware habilmente evita ser executado em páginas de administrador para permanecer oculto e só é ativado em telas de checkout. Versões mais recentes chegam a criar formulários de pagamento falsos e imitar as verificações de segurança do Cloudflare para enganar os usuários. Informações roubadas são frequentemente enviadas disfarçadas de endereços de imagens da web.

Além de roubar informações de pagamento, os pesquisadores encontraram três outras versões desse malware, cada uma com objetivos diferentes. Uma versão adulterava o Google Ads para exibir anúncios falsos para usuários de dispositivos móveis. Outra foi projetada para roubar dados de login do WordPress .

Uma terceira versão dissemina mais malware, alterando links legítimos em sites para links maliciosos. Apesar dessas funções variadas, a estrutura principal do software permaneceu consistente, adaptando seus recursos para cada ataque específico. Algumas versões até usaram o aplicativo de mensagens Telegram para enviar dados roubados em tempo real e rastrear as ações dos usuários.

Uma amostra inspecionada também incluía um desafio de verificação humana falsa surpreendentemente completo, injetado dinamicamente como uma tela cheia e multilíngue, com o objetivo de servir tanto como um dispositivo de enganação do usuário quanto como um filtro antibot. Isso inclui recursos incrivelmente avançados para malware, como texto localizado em vários idiomas, suporte a CSS para idiomas RTL e modo escuro, elementos interativos como animações e SVGs giratórios, e uma representação clara da marca Cloudflare, revelando uma complexidade raramente encontrada antes.

Paolo Tresso – Wordfence

Uma descoberta importante foi um plugin falso do WordPress chamado WordPress Core . Embora aparentemente inofensivo, ele continha código JavaScript oculto para clonagem de arquivos e scripts PHP que permitiam aos invasores gerenciar dados roubados diretamente do site comprometido.

Este plugin fraudulento também utilizava recursos específicos do WooCommerce, uma plataforma popular de e-commerce, para marcar pedidos fraudulentos como concluídos, ajudando a atrasar a detecção. Seu sistema de gerenciamento oculto armazena dados de pagamento roubados diretamente no WordPress, categorizados em uma seção personalizada de "mensagens".

Para se proteger contra essa ameaça, os administradores de sites devem procurar sinais de comprometimento, incluindo nomes de domínio específicos vinculados aos invasores, como api-service-188910982.website e graphiccloudcontent.com . O Wordfence já liberou assinaturas de detecção para esse malware entre 17 de maio e 15 de junho de 2025 para seus usuários premium, com os usuários gratuitos recebendo-as após um atraso padrão de 30 dias.