ClickFix
|

ClickFix: o golpe de atualizações falsas ameaça 6 mil sites em WordPress

Escrito porIvan de Souza

Nos últimos anos, os ataques cibernéticos têm evoluído para formas cada vez mais sofisticadas. Um exemplo recente desse cenário é o ClickFix, uma campanha de malware que está comprometendo milhares de sites em WordPress ao redor do mundo por meio da instalação de plugins maliciosos que se disfarçam de atualizações legítimas de navegadores.

De acordo com um levantamento da GoDaddy, este ataque já afetou mais de 6.000 sites apenas em setembro de 2024 e continua a ser uma ameaça crescente para empresas de todos os tamanhos.

Neste post, explicamos como o ClickFix opera, suas implicações para a segurança digital e as medidas que empresas devem tomar para proteger suas operações online.

O que é o ClickFix e como ele funciona?

O ClickFix é uma variante de um golpe já conhecido como ClearFake, que utiliza falsas mensagens de atualização de navegador para infectar sistemas com malware. A diferença do ClickFix é que ele aproveita a instalação de plugins falsos em sites em WordPress para exibir essas mensagens fraudulentas.

Esses plugins maliciosos, que possuem nomes inofensivos como “Advanced User Manager” ou “Quick Cache Cleaner”, parecem legítimos, mas na verdade contêm códigos maliciosos que infectam os visitantes dos sites.

Os plugins utilizam JavaScript para injetar código que simula uma mensagem de erro de navegador, sugerindo que o usuário precisa instalar uma atualização para corrigir o problema. No entanto, ao clicar na atualização, o visitante está, na verdade, baixando malware, como trojans de acesso remoto ou programas que roubam informações, como o Vidar Stealer e Lumma Stealer.

Ou seja, esses malwares são projetados para coletar dados confidenciais, como credenciais de login e informações bancárias.

Um aspecto notável da campanha ClickFix é a maneira como os atacantes conseguem acesso a sites em WordPress. Em vez de explorarem vulnerabilidades do próprio WordPress, eles utilizam credenciais roubadas para fazer login nos sites como administradores legítimos.

Isso destaca a importância de práticas de segurança robustas, como senhas fortes e autenticação de dois fatores, para evitar que essas invasões ocorram.

O impacto do ClickFix em empresas

Para as empresas que usam WordPress como plataforma de seus sites, o impacto de um ataque como o ClickFix pode ser devastador.

Em primeiro lugar, ele compromete a segurança dos visitantes, o que pode gerar danos irreparáveis à reputação da empresa. Além disso, os sites infectados correm o risco de serem desindexados pelos motores de busca, como o Google, uma vez que o malware pode ser detectado por mecanismos de segurança da web. Isso afeta o SEO do site.

Outro fator crítico é o roubo de informações. O malware instalado através do ClickFix pode capturar dados sensíveis, como informações bancárias e senhas, tanto dos administradores do site quanto dos visitantes. Esses dados podem ser vendidos na dark web ou usados diretamente pelos cibercriminosos para fraudes e ataques mais direcionados.

Além disso, a remoção de um malware desse tipo pode ser complexa e cara, exigindo não apenas a limpeza do site, mas também auditorias de segurança e, em muitos casos, uma reconstrução parcial ou total do ambiente online da empresa.

criação ou otimização de site

Como o ClickFix se dissemina?

O modo de operação do ClickFix envolve a instalação de plugins falsos nos sites WordPress comprometidos. Esses plugins são carregados diretamente na seção de cabeçalho do site por meio da ação legítima wp_enqueue_scripts, que permite que scripts e estilos sejam adicionados às páginas do WordPress.

Embora essa função seja usada amplamente para propósitos benignos, os cibercriminosos a manipulam para carregar scripts maliciosos.

Os plugins falsos utilizam nomes semelhantes a plugins legítimos, como “Google SEO Enhancer” ou “LiteSpeed Cache Classic”. Essa semelhança torna difícil para administradores não especializados em segurança digital distinguir entre plugins legítimos e maliciosos.

Os pesquisadores da GoDaddy, uma das maiores empresas de hospedagem do mundo, identificaram que os cibercriminosos por trás do ClickFix também utilizam contratos inteligentes e blockchain para ocultar o código malicioso e distribuir os payloads, dificultando ainda mais a detecção e remoção dos plugins infectados.

A automação é outro aspecto que facilita a rápida disseminação dessa campanha. Os invasores usam scripts automatizados para instalar os plugins falsos em sites que foram comprometidos, o que explica a velocidade com que o ClickFix se espalhou em setembro de 2024.

Medidas de prevenção para sites em WordPress

Empresas que utilizam WordPress como base de suas operações online precisam adotar medidas preventivas rigorosas para evitar serem vítimas de campanhas como o ClickFix. Seguem abaixo algumas das melhores práticas.

Utilizar senhas fortes e únicas

O uso de senhas fracas ou repetidas em diferentes plataformas é uma das principais causas de comprometimento de credenciais. A implementação de uma política de senhas fortes, combinada com a autenticação de dois fatores (2FA), pode reduzir significativamente o risco de invasão.

Manter plugins e temas atualizados

É fundamental que todos os plugins e temas instalados no WordPress estejam sempre atualizados. Muitos ataques exploram vulnerabilidades em versões antigas de plugins ou temas, portanto, garantir que todos os componentes estejam na versão mais recente é uma medida essencial de segurança.

Auditar os plugins instalados

Administradores devem realizar auditorias regulares nos plugins instalados em seus sites. Isso inclui verificar a fonte de cada plugin, garantir que eles sejam desenvolvidos por autores confiáveis e remover qualquer plugin que pareça suspeito ou desnecessário.

Usar serviços de monitoramento de segurança

Ferramentas como o SiteCheck podem ajudar a monitorar e detectar atividades suspeitas em sites em WordPress. Esses serviços escaneiam sites em busca de plugins maliciosos, alterações não autorizadas e outros indicadores de comprometimento.

Implementar backups regulares

Ter um plano de backup consistente e atualizado é essencial para garantir que, caso um site seja comprometido, ele possa ser restaurado rapidamente sem perda significativa de dados. Idealmente, os backups devem ser armazenados em um local separado e seguro.

Conforme pôde ver ao longo deste post, o ClickFix é apenas um exemplo das inúmeras ameaças cibernéticas que podem afetar sites WordPress e prejudicar tanto empresas quanto seus clientes.

A sofisticação desse tipo de ataque, que utiliza engenharia social e técnicas avançadas de programação, ressalta a importância de adotar medidas preventivas eficazes e de manter uma vigilância constante sobre a segurança dos sites.

Portanto, para evitar essa e outras ameaças, que tal verificarmos como anda o nível de segurança do seu site? Clique aqui para bater um papo conosco e explicaremos como podemos manter o site do seu negócio seguro!

Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *