Hackers Exploram Sites WordPress para Alimentar Ataques de Phishing ClickFix de Nova Geração

08 de outubro de 2025 - Pesquisadores de segurança cibernética alertam sobre uma campanha maliciosa que visa sites WordPress para realizar injeções de JavaScript que redirecionam usuários para sites fraudulentos.

Infecção via WordPress Comprometido

A empresa de segurança Sucuri identificou que atacantes modificaram arquivos de temas WordPress ("functions.php") para injetar código malicioso que:

• Incorpora referências ao Google Ads para evadir detecção
• Funciona como um carregador remoto que se comunica com domínios maliciosos
• Redireciona usuários para páginas de phishing ClickFix
• Utiliza domínios como "porsasystem[.]com" que fazem parte do sistema de distribuição de tráfego Kongtuke

Ferramenta IUAM ClickFix Generator

A Palo Alto Networks revelou um kit de phishing chamado IUAM ClickFix Generator que permite a criminosos:

• Criar páginas de phishing altamente personalizáveis
• Imitar verificações de segurança legítimas de CDNs
• Detectar sistemas operacionais para servir malware compatível
• Manipular a área de transferência dos usuários
• Distribuir stealers de informação como DeerStealer e Odyssey Stealer

Técnica de Cache Smuggling

Uma nova variante do ClickFix emprega uma técnica chamada "cache smuggling" para:

• Armazenar dados maliciosos no cache do navegador
• Evitar o download explícito de arquivos maliciosos
• Executar payloads disfarçados como imagens JPEG
• Contornar proteções de segurança convencionais

Recomendações de Segurança

Especialistas recomendam:

• Manter plugins, temas e software WordPress atualizados
• Implementar senhas fortes
• Verificar regularmente sites WordPress por anomalias
• Monitorar contas de administrador inesperadas
• Educar usuários sobre técnicas de phishing ClickFix

A sofisticação crescente dessas ferramentas reduz significativamente a barreira de entrada para cibercriminosos, permitindo ataques em larga escala com pouco esforço técnico.