Trackstatisticsss.com

O site Trackstatisticsss.com é uma página da Web, que foi vinculada a campanhas em massa de hackers direcionadas a sites do WordPress. Os sites visados tinham uma característica em comum: tinham complementos desatualizados, vulneráveis à exploração. Os especialistas em malware detectaram os ataques em questão pela primeira vez em abril de 2020. Logo ficou evidente que os invasores estão comprometendo cada vez mais páginas do WordPress com sucesso todos os dias. Segundo os pesquisadores de segurança cibernética, os invasores provavelmente já violaram dezenas de milhares de páginas da Web. De acordo com as estimativas dos pesquisadores, pode haver vários milhões de sites, vulneráveis e que podem ser explorados pelo invasor atualmente.

Entre os complementos vulneráveis aos invasores estão:

• Designer de blog.
• Doação Total.
• Easy2Map.
• WP GDPR Compliance.

É importante observar que os invasores podem explorar apenas versões desatualizadas dos complementos listados. Se você atualizou seus complementos para as versões mais recentes, não precisa se preocupar com a violação do seu site. Se você é administrador de um site, é crucial sempre aplicar as atualizações mais recentes aos seus temas e plugins para minimizar as chances de violação da sua página. Os invasores executariam o ataque aproveitando uma vulnerabilidade em um complemento, o que lhes permitirá alterar as configurações do site ou sequestrando a sessão de um administrador do WordPress por uma vulnerabilidade XSS.

Os pesquisadores de malware ainda não descobriram como os invasores estão detectando quais sites seriam vulneráveis à exploração. No entanto, quando os atacantes detectam um site vulnerável, eles injetam uma carga útil ofuscada do JavaScript corrompida. O script em questão examinaria os cookies dos destinos para determinar se eles são administradores de um site WordPress. Se os invasores detectarem cookies que atendem aos critérios, eles determinarão como proceder com a operação:

• Se os alvos não estiverem conectados ao perfil de administrador, o script os direcionará para um URL que hospeda anúncios corrompidos.
• Se os alvos estiverem conectados ao perfil de administrador, o script corrompido tentará sequestrar a sessão ativa para plantar um backdoor PHP no tema WordPress do site.

O backdoor PHP utilizado pelos atacantes está hospedado no domínio 'ws.stivenfernando.com/stm.js'. Esse é um arquivo JavaScript, capaz de converter para PHP antes de ser executado. Em seguida, o backdoor injetará uma carga útil adicional, que é extraída do domínio 'Trackstatisticsss.com', ou seja, 'stat.trackstatisticsss.com/n.txt'. Na época em que os especialistas em malware estudaram essa campanha, esse arquivo parecia estar vazio e, portanto, inativo. No entanto, isso pode mudar a qualquer momento, pois os invasores podem alterar o arquivo 'n.txt' e o seu conteúdo.

Se você é um administrador do WordPress, precisa atualizar regularmente todos os plugins e temas da sua página da Web. Evite baixar temas piratas e outros conteúdos ilícitos, pois eles costumam ser usados como vetores de infecção.