Malware utiliza perfis da Steam para controlar ataques contra sites WordPress

Meta Description: Pesquisadores identificaram uma campanha de malware que utiliza perfis da Steam para transmitir comandos ocultos a sites WordPress comprometidos. Entenda os riscos e como se proteger.

Uma nova campanha de malware chamou a atenção de especialistas em segurança digital por utilizar uma estratégia incomum para controlar sites WordPress infectados. Em vez de depender de servidores próprios para enviar instruções aos códigos maliciosos, os criminosos estão escondendo comandos dentro de perfis públicos da plataforma Steam.

A descoberta foi realizada por pesquisadores da GoDaddy Security, que identificaram aproximadamente 2.000 sites WordPress comprometidos utilizando essa técnica.

Como o ataque funciona

Após comprometer um site WordPress, o malware instalado passa a buscar instruções em páginas públicas da Steam. O diferencial da campanha está na forma como essas instruções são armazenadas.

Os atacantes utilizam caracteres Unicode invisíveis inseridos em comentários aparentemente comuns publicados nos perfis da plataforma. Para um visitante normal, o comentário parece apenas uma mensagem comum ou spam. Porém, escondidos entre os caracteres visíveis, existem dados codificados que podem ser interpretados pelo malware.

Quando o site infectado é acessado, ele realiza uma consulta silenciosa ao perfil da Steam, extrai os caracteres invisíveis e converte essas informações em comandos executáveis.

O que os criminosos conseguem fazer?

Os comandos recuperados apontam para scripts hospedados em domínios controlados pelos invasores. Esses scripts são carregados automaticamente nas páginas do site comprometido, sem que visitantes ou administradores percebam.

Além disso, os pesquisadores identificaram a presença de uma porta dos fundos (backdoor) que permite aos atacantes reescrever arquivos do WordPress remotamente, mesmo após tentativas parciais de remoção do malware. Isso torna a limpeza muito mais difícil e aumenta o risco de reinfecção.

Por que usar a Steam?

A estratégia tem um objetivo simples: dificultar a detecção.

Conexões com plataformas conhecidas e amplamente utilizadas costumam gerar menos alertas em sistemas de monitoramento do que acessos a servidores desconhecidos. Dessa forma, os criminosos conseguem ocultar parte da infraestrutura necessária para controlar o malware.

Especialistas destacam que essa não é a primeira vez que plataformas populares são utilizadas dessa forma. Redes sociais, fóruns e serviços amplamente conhecidos já foram explorados em campanhas semelhantes nos últimos anos.

Como proteger seu site WordPress

A GoDaddy não identificou uma única vulnerabilidade responsável pelas infecções. Os vetores mais prováveis incluem credenciais comprometidas, plugins desatualizados, temas vulneráveis e acessos FTP ou SFTP inseguros.

Para reduzir os riscos, especialistas recomendam:

  • Manter WordPress, plugins e temas sempre atualizados;
  • Utilizar senhas fortes e autenticação em dois fatores;
  • Remover plugins e temas não utilizados;
  • Monitorar conexões suspeitas realizadas pelo servidor;
  • Realizar backups periódicos e armazená-los em local seguro;
  • Utilizar ferramentas de monitoramento e proteção contra malware.

Conclusão

O caso demonstra como as campanhas de malware estão se tornando cada vez mais sofisticadas. Ao utilizar uma plataforma legítima como a Steam para transmitir comandos ocultos, os criminosos conseguem dificultar a identificação das atividades maliciosas e prolongar a permanência em sites comprometidos.

Para administradores de WordPress, a principal lição continua sendo a mesma: manter boas práticas de segurança, atualizar componentes regularmente e monitorar o ambiente são medidas essenciais para evitar invasões e minimizar impactos caso um incidente ocorra.