Pesquisadores cibersegurança da Sucuri descobriram uma nova campanha de malvertising que vem explorando temas do WordPress para injetar códigos maliciosos e exibir anúncios falsos em sites legítimos. A operação, que já comprometeu dezenas de páginas, tem como objetivo redirecionar visitantes para domínios controlados por criminosos. O ataque se inicia com a modificação do arquivo functions.php do tema ativo do site, um dos arquivos principais do WordPress.
Por meio dessa alteração, os invasores injetam scripts externos hospedados em domínios suspeitos, entre eles brazilc[.]com e porsasystem[.]com, responsáveis por exibir propagandas fraudulentas, pop-ups e mensagens de verificação falsas. Segundo a Sucuri, o código malicioso é altamente furtivo e foi projetado para se passar por um script legítimo do Cloudflare, serviço amplamente usado para segurança e desempenho de sites. Ele cria iframes invisíveis que permitem carregar conteúdo malicioso em segundo plano, mantendo o site aparentemente normal aos olhos dos administradores e visitantes. Durante a investigação, os pesquisadores encontraram 17 sites comprometidos com o mesmo padrão de infecção. O domínio principal da campanha já foi bloqueado por fornecedores de segurança, mas os operadores continuam registrando novos endereços para manter a atividade ativa e evitar detecção.
O ataque não depende de uma vulnerabilidade específica do WordPress, mas se aproveita de temas e plugins desatualizados, credenciais fracas e falhas de monitoramento. Pequenos blogs, sites corporativos e lojas virtuais são os alvos preferenciais, especialmente aqueles sem manutenção regular ou com hospedagens compartilhadas. Uma vez instalado, o código injeta anúncios falsos e pode redirecionar o visitante para páginas de phishing, golpes financeiros ou downloads de malware, comprometendo tanto a segurança do usuário quanto a credibilidade do site afetado.
