Cibercriminosos estão explorando temas e plugins do WordPress para injetar códigos JavaScript maliciosos que redirecionam visitantes a sites de phishing. A nova campanha, descoberta por analistas de cibersegurança, usa páginas falsas conhecidas como ClickFix, que imitam verificações de segurança de provedores legítimos, como o Cloudflare, para enganar usuários e distribuir malware.
A infecção começa com a modificação do arquivo functions.php, um dos principais componentes dos temas WordPress. O código injetado envia requisições a domínios suspeitos como brazilc[.]com e porsasystem[.]com, usados para carregar scripts externos responsáveis por exibir anúncios falsos, redirecionamentos e janelas de verificação simuladas. Os códigos inseridos criam iframes invisíveis com aparência idêntica aos scripts oficiais do Cloudflare, tornando a infecção quase imperceptível. Esses domínios fazem parte de um sistema de distribuição de tráfego (TDS) chamado Kongtuke, que já havia sido usado em outras campanhas para redirecionar usuários a páginas de phishing. Ao acessar um site comprometido, o visitante é redirecionado para páginas falsas do tipo ClickFix, projetadas para convencer o usuário a executar comandos locais em seu computador, acreditando estar resolvendo uma verificação de navegador.
Essas páginas são criadas com o kit IUAM ClickFix Generator, uma ferramenta que permite personalizar interfaces de phishing e até detectar o sistema operacional da vítima para distribuir malware compatível. Pesquisadores identificaram que essas páginas já estão sendo usadas para instalar stealers como DeerStealer e Odyssey Stealer, voltados ao roubo de credenciais, cookies de sessão e dados armazenados em navegadores. O último é voltado especificamente para usuários de macOS. A campanha representa uma evolução significativa da técnica de phishing ClickFix, agora combinada com o método de “cache smuggling”, que permite esconder cargas maliciosas no cache do navegador sem baixar arquivos diretamente. Dessa forma, o ataque dribla sistemas de segurança tradicionais, que normalmente detectam downloads suspeitos
