Pesquisadores da Sucuri identificaram uma nova variante de malware em sites WordPress, que se esconde dentro de um arquivo ZIP para executar redirecionamentos maliciosos. O ataque é discreto, avançado e projetado para manipular mecanismos de busca sem ser detectado por administradores ou scanners automáticos
Como o malware atua
O ponto de entrada é um trecho injetado no arquivo wp-settings.php, que utiliza o wrapper zip:// para acessar um script oculto dentro do arquivo win.zip. Esse arquivo comprimido contém um script PHP altamente ofuscado, cujo nome corresponde ao domínio do site infectado
Ou seja, ao carregar a página, o código PHP dentro do ZIP é executado como se fosse parte do próprio site, permitindo que o atacante controle o comportamento das visitas de forma dinâmica e oculta.
Técnicas de evasão e controle
O malware apresenta sofisticados mecanismos de ocultação:
- Detecção de bots: bloqueia redirecionamentos e injeções de conteúdo criminoso para crawlers como Googlebot, evitando exposição nos resultados de busca
- Seleção dinâmica de servidores C2: diferentes URLs são chamadas conforme a página acessada, dificultando o bloqueio completo ao dispersar a infraestrutura de controle.
- Manipulação SEO: o malware intercepta requisições por arquivos como
robots.txt,sitemap.xmlou arquivos de verificação do Google, alterando-os em prol do atacante .
Impactos para o site e reputação
Esse tipo de ataque gera graves consequências:
- Redirecionamento de visitantes para sites fraudulentos, afetando a confiança da audiência e prejudicando métricas de tráfego.
- SEO poisoning, favorecendo sites maliciosos ao manipular sinais enviados aos mecanismos de busca.
- Dificuldade de limpeza, pois o código está ofuscado dentro de um ZIP e não aparece facilmente nos arquivos padrão do WordPress.
Como detectar e remover
Para identificar esse tipo de infecção, é preciso:
- Buscar por chamadas incomuns a
zip://win.zip#dentro dos arquivos centrais do site, especialmentewp-settings.php - Examinar o conteúdo do arquivo
win.zipno diretório principal do site, verificando nomes de arquivos suspeitos e códigos ofuscados. - Substituir os arquivos centrais do WordPress por versões limpas e conhecidas.
- Remover o malware ZIP e garantir que ele não seja restaurado por versões anteriores ou backups contaminados.
- Analisar logs de acesso para identificar redirecionamentos desconhecidos e padrões de tráfego atípicos.
Medidas de prevenção
Prevenir esse tipo de ataque exige disciplina e camadas de proteção:
- Bloquear gravação em arquivos PHP essenciais, como
wp-settings.php, usando permissões restritivas do servidor. - Monitorar arquivos sensíveis, com alertas sobre alterações inesperadas.
- Implementar Web Application Firewall (WAF) que detecte comportamentos anômalos e código suspeito logo na requisição.
- Realizar varreduras regulares por malware, buscando padrões ZIP ou códigos zip wrapper em scripts PHP.
- Utilizar versões atualizadas do WordPress, plugins e temas, reduzindo o risco de falhas exploráveis.
Considerações finais
O malware descoberto é impressionante em sua sofisticação técnica, combinando técnicas de ocultação avançadas com foco em SEO e manipulação de buscadores e usuários. A identificação de um wrapper ZIP embutido em wp-settings.php é um exemplo claro de como ataques podem ultrapassar mecanismos tradicionais de defesa.
A segurança hoje exige monitoramento constante, proteção em múltiplas camadas e atenção redobrada a arquivos centrais do site. Ferramentas de detecção automatizada, WAFs e gestão rigorosa de permissões são essenciais para evitar que esse tipo de ameaça evolua em escala.