Pesquisadores de segurança detectaram versões falsas do plugin jQuery Migrate que contém código ofuscado para carregar malware em mais de 7,2 milhões de sites.
O arquivos jquery-migrate.js e jquery-migrate.min.js estão presentes nos locais onde os arquivos JavaScript normalmente ficam em sites WordPress, no entanto são maliciosos.
Esta semana, os pesquisadores de segurança Denis Sinegubko e Adrian Stoian viram arquivos jQuery falsificados se passando pelo plugin jQuery Migrate em dezenas de sites.
Como ele funciona
Tornando a detecção mais difícil, esses arquivos maliciosos substituem os arquivos originais presentes em ./wp-includes/js/jquery/ nesses sites, que é o diretório onde o WordPress mantém arquivos jQuery.
Os arquivos jquery-migrate.js e jquery-migrate.min.js têm código ofuscado que carregam um arquivo chamado analytics.js que contém o código malicioso, que já foi detectado hospedado em hxxps://stick[.]travelinskydream[.]ga/analytics.js.
Embora a escala completa deste ataque ainda esteja para ser determinada, Sinegubko compartilhou uma consulta de pesquisa que mostra várias páginas atualmente infectadas com o script malicioso analytics.
Apesar do nome, o arquivo analytics não tem nada a ver com a coleta de métricas do site. Após analises dos códigos ofuscados presentes no arquivo, foi observado que existem referências a “/wp-admin/user-new.php” que é a página de administração do WordPress para criar novos usuários. Além disso, o código acessa a variável “_wpnonce_create-user” que o WordPress usa para proteger contra ataques CSRF (Cross-Site Request Forgery).
A injeção de scripts como esses em um site do WordPress permite que os invasores executem uma variedade de atividades maliciosas, desde golpes de skimming de cartão de crédito até redirecionar usuários para sites de golpes. Os usuários podem ser direcionados para pesquisas falsas, golpes de suporte técnico, ser solicitado a assinar a notificação de spam ou baixar extensões indesejadas do navegador. Mais especificamente, a função “checkme()” tenta redirecionar a janela do navegador do usuário para uma URL maliciosa.
Essa URL então pede que o cliente dê permissão para comprovar que ele não é um robô, levando a vários redirecionamentos de URLs de spam. Várias dessas páginas de redirecionamento pedem que o usuário confirme que ele não é um robô aceitando as permissões requisitadas pelo browser.
A quantidade de URLs de spam usados na sequência de redirecionamento é vasta e com vários domínios.
No momento da descoberta do malware pelos pesquisadores, apenas duas ferramentas no VirusTotal estavam detectando o arquivo analytics.js como malicioso, no entanto agora, no momento de envio desse informativo, há 10 soluções que estão detectando a ameaça. Entre elas Kaspersky e Fortinet.
O que fazer
Para se proteger dessa ameaça, é necessário verificar os arquivos jQuery utilizados para identificar possíveis chamadas ao arquivo analytics.js vindos de domínios desconhecidos.
É importante ressaltar que esse é um ataque que ocorre nos endpoints, portanto é imprescindível a utilização de uma ferramenta de anti-virus que possa bloquear essa ameaça.
