Mais de 14.000 sites WordPress foram hackeados, usados para espalhar malware.
WordPress é um dos sistemas de gerenciamento de conteúdo mais populares da Internet. Na verdade, mais do que isso 43 por cento Todos os sites rodam em WordPress. Isso torna o último ataque a sites WordPress por um novo ator de ameaça ainda mais alarmante.
De acordo com um Novo relatório Do Google Threat Intelligence Group (GTIG), um novo agente de ameaças de codinome UNC5142 está invadindo com sucesso sites WordPress e usando uma nova técnica para espalhar malware pela web. O UNC5142, de acordo com relatórios, frequentemente encontrará sites WordPress vulneráveis usando temas, plug-ins ou bancos de dados WordPress defeituosos.
Notório grupo de hackers faz novos vazamentos para funcionários do ICE e do FBI, dizem relatórios
Os sites WordPress direcionados serão infectados com um downloader de JavaScript de vários estágios e claro, que entrega o malware. O grupo de ameaças irá então implantar uma nova técnica chamada “etherhiding” habilitada pelo ClearShort.
Velocidade da luz mashável
O Google descreve o etherhiding como “uma técnica usada para ofuscar códigos ou dados maliciosos, colocando-os em uma blockchain pública, como a cadeia inteligente BNB”. Esse uso do blockchain para espalhar código malicioso é único e torna mais difícil impedir a propagação de malware.
O contrato inteligente que contém o código blockchain chamará então uma landing page CLEARSHORT, geralmente hospedada em uma página de desenvolvimento da Cloudflare, que usa a técnica de engenharia social ClickFix. Essa técnica engana os visitantes do site para que executem comandos maliciosos em seus computadores por meio da caixa de diálogo Executar do Windows ou do aplicativo Terminal no Mac.
Segundo o Google, os ataques do UNC5142 são frequentemente motivados financeiramente. GTIG afirma que rastreia UNC5142 desde 2023. No entanto, o Google relatou que UNC5142 interrompeu repentinamente todas as atividades em julho de 2025
Isto pode significar que este novo grupo de agentes de ameaças, que tem executado com sucesso a sua campanha de malware, decidiu simplesmente desistir. Ou pode significar que o autor da ameaça mudou suas táticas, ofuscou com sucesso suas ações mais recentes e ainda hoje está invadindo sites vulneráveis.
