Backdoor localizado em clientes WordPress da GoDaddy

Empresa de segurança de Wordfence, localizou 298 sites infectados com um backdoor em clientes WordPress da GoDaddy.

A equipe de resposta a incidentes da Wordfence, empresa especializada na segurança de instalações do gerenciador de conteúdo WordPress, publicou na terça-feira um alerta sobre a localização de backdoors em 298 sites, todos infectados do dia 11 de março de 2022 em diante. Sendo que 281 estão no serviço de hospedagem especializado em WordPress da GoDaddy. A Wordfence informa que ainda não determinou o vetor de contaminação.

Segundo a Wordfence, os sites contaminados sites são administrados por seis revendedores da GoDaddy: MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet e Host Europe. Em todos os sites afetados o arquivo wp-config.php tem um backdoor.

Quando uma solicitação com um cookie definido para determinado valor codificado em base64 for enviada ao site, o backdoor baixará um modelo de link de um domínio de comando e controle (C2) – (neste caso t-fish-ka[.]ru) e o salvará em um arquivo de nome definido pelo hash MDS gerado com o domínio do site infectado.

Leia mais sobre no link abaixo: