Antivírus e Segurança | WebaDesign - Empresa de Webdesign - Desenvolvimento Web Design Macaé e Curitiba

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

21 de abril de 2023

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

A orientação de que devemos tomar cuidado com softwares antigos ou abandonados não é exagerada. Prova recente disso vem do Eval PHP. Esse é nome de um plugin para WordPress que não é atualizado desde 2012 e, agora, vem sendo usado para comprometer sites.

Eval PHP compromete segurança do WordPress (imagem ilustrativa: Vitor Pádua/Tecnoblog)

O Eval PHP permite que o administrador de um site em WordPress adicione códigos PHP diretamente em páginas ou postagens. O recurso pode ser usado para testar funções ou oferecer funcionalidades aos visitantes do site.

Por ser um plugin antigo e usado para um propósito muito específico, o Eval PHP é pouco usado atualmente. Mas a empresa de segurança digital Sucuri notou que, nas últimas semanas, vários sites estavam sendo infectados com um backdoor cujo código tem relação com o plugin.

A Sucuri constatou que, no final de março, o Eval PHP chegou a um pico diário de 7 mil downloads. Antes disso, o plugin raramente registrava um único download por dia. A companhia estima que, desde então, mais de 100 mil downloads já foram realizados.

Invasão silenciosa

O Eval PHP não se tornou popular de uma hora para outra. O número de downloads disparou simplesmente porque ele vem sem usado pelos invasores, não por administradores de sites.

Tudo começa quando o invasor insere um código malicioso na tabela “wp_posts” do banco de dados do WordPress. Para isso, ele usa uma conta de administrador comprometida, que também serve para que o plugin seja instalado.

Por meio do plugin, o código é injetado em páginas ou postagens do WordPress. Basta então ao invasor acessar esses links para o código ser executado. Quando isso ocorre, o backdoor é inserido na raiz do site.

Várias ações maliciosas podem ser executadas a partir daí, como disseminação de malware, captura de dados e ataques a outros sites.

Para evitar que as páginas e postagens comprometidas sejam descobertas, os invasores as salvam como rascunho. Assim, os links não aparecem na relação de conteúdo público do site.

O que torna todo esse esquema diferente de outros tipos de invasões é que, como o código malicioso é executado graças ao Eval PHP, é mais difícil o seu rastreamento por mecanismos de segurança.

Para piorar a situação, se o backdoor for removido, ele poderá ser inserido no site novamente após o simples acesso a uma das páginas ou postagens comprometidas.

Eval PHP está há mais de dez anos sem atualização (imagem: reprodução/Sucuri)

Medidas de segurança

Evitar o uso de softwares (aqui, plugins) desatualizados é uma das formas de se prevenir contra invasões. Se o Eval PHP recebesse manutenção, certamente os seus mantenedores encontrariam formas de evitar que o plugin fosse usado para execução de código malicioso.

Como no caso em questão o plugin é instalado pelo invasor, não pelo usuário, caberia aos mantenedores dos repositórios do WordPress adotar medidas preventivas. Por outro lado, é difícil para eles monitorar um universo tão grande de plugins.

É por isso que medidas complementares devem ser adotadas pelos administradores de sites. A Sucuri recomenda:

manter os recursos do site sempre atualizados;

proteger o painel de administração do WordPress com autenticação em dois fatores para dificultar acessos indevidos;

contar com um serviço regular de backup;

usar firewalls para bloquear bots e atenuar vulnerabilidades conhecidas.

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

Plugin abandonado é usado para atacar silenciosamente sites com WordPress
Fonte: Tecnoblog

Microsoft quer ajudar a detectar um malware quase indetectável

13 de abril de 2023

Microsoft quer ajudar a detectar um malware quase indetectável

A Microsoft disponibilizou algumas dicas para detectar um malware difícil de encontrar chamado BlackLotus. Esse tipo de vírus é bastante sofisticado e tem como alvo o Unified Extensible Firmware Interface (UEFI), que é a primeira coisa a ativar quando ligamos o computador. Por funcionar antes do próprio sistema operacional do PC, ele consegue se “esconder” do antivírus e ficar na máquina mesmo se tudo for reinstalado ou se houver a troca de HD.

Antivírus (Imagem: Unsplash / Dimitri Karastelev)

Segundo a Microsoft, os cibercriminosos usam a vulnerabilidade CVE-2022-21894 para implantar o BlackLotus UEFI Bootkit na máquina da vítima. Porém, a empresa de Redmond apontou a análise de certas partes para tentar identificar o vírus:

Arquivos do carregador de inicialização criados e bloqueados recentemente;

Presença de um diretório de preparo usado durante a instalação do BlackLotus no EPS:/ sistema de arquivos;

Modificação da chave do Registro para a Integridade de Código Protegida pelo Hipervisor (HVCI);

Logs de rede;

Logs de configuração de inicialização;

Artefatos de partição de inicialização.

Além disso, como o malware utiliza a vulnerabilidade CVE-2022-21894, é possível proteger o seu dispositivo se você usar um patch para resolver essa questão previamente.

A Microsoft também sugere para “evitar o uso de contas de serviço no nível de administrador. Restringir privilégios administrativos locais pode ajudar a limitar a instalação de cavalos de Tróia de acesso remoto (RATs) e outros aplicativos indesejados”.

Detectar o vírus é o primeiro passo para removê-lo (Imagem: Reprodução / Internet)

BlackLotus custa mais de R$ 20 mil

Esse vírus está disponível desde 2022 em diversos fóruns de hackers e similares. Em seu anúncio de venda, os cibercriminosos dizem que o malware consegue evitar a detecção de antivírus, resistir a tentativas de remoção e pode desabilitar vários recursos de segurança.

Dessa forma, o preço de uma licença é por volta de US$ 5 mil (perto de R$ 24 mil em uma conversão direta), enquanto rebuilds estão custando US$ 200 (em torno de R$ 984).

Os vendedores afirmam que o BlackLotus tem proteção Ring0/Kernel integrada contra remoção, consegue iniciar no modo de recuperação ou segurança, além de ter o recurso de bypass de Inicialização Segura integrado.

De acordo com a Microsoft, depois de identificar o malware no computador, a pessoa precisa remover o dispositivo da rede e reinstalá-lo com um sistema operacional limpo e partição EFI. Ademais, um usuário pode restaurar o sistema a partir de um backup limpo com uma partição EFI.

Com informações: Bleeping Computer.
Microsoft quer ajudar a detectar um malware quase indetectável

Microsoft quer ajudar a detectar um malware quase indetectável
Fonte: Tecnoblog

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Category: Antivírus e Segurança

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

Microsoft quer ajudar a detectar um malware quase indetectável