Novo Malware se Disfarça como Plugin Anti-Malware no WordPress

Um novo malware do WordPress, disfarçado de plugin anti-malware, concede aos invasores acesso remoto, com medidas de segurança atualizadas sendo implementadas pelo Wordfence.

Foi descoberta uma nova variante de malware em sites WordPress, disfarçada de um plugin anti-malware legítimo. Identificado pelos analistas de segurança da Wordfence como “WP-antymalwary-bot.php”, este malware permite que os invasores acessem os painéis dos sites permanecendo invisíveis para as visualizações do administrador, e como resultado, permite a execução remota de códigos maliciosos.

O malware foi detectado pela primeira vez pela Wordfence em 22 de janeiro de 2025, durante uma limpeza rotineira do site. O plugin funciona como uma ferramenta WordPress comum, mas contém um recurso de comando de backend que permite aos invasores realizar logins de administrador.

O malware mantém contato com um servidor de Comando & Controle (C&C), permitindo que os invasores emitam comandos remotos. Ele também possibilita aos invasores distribuir malware adicionando código JavaScript malicioso a outros diretórios.

Para piorar a situação, a Wordfence relata que o malware se esconde da lista de plugins do WordPress, tornando ainda mais difícil para os proprietários de sites identificá-lo. Ele também usa o agendador de tarefas do WordPress para manter sua presença no site. Isso significa que, se o plugin malicioso for removido, o malware pode simplesmente reaparecer após o site ser visitado novamente.

O malware também se comunica com um servidor no Chipre, relatando informações e possivelmente recebendo novas instruções. A Wordfence relata que novas versões do malware continuam a surgir, incluindo uma que agenda eventos regulares para manter o ataque em andamento.

Especialistas recomendam que os usuários do WordPress permaneçam vigilantes e atualizem seus plugins de segurança.