Malware se disfarça de ferramenta de proteção para obter acesso persistente e invisível
Pesquisadores de segurança da Wordfence identificaram um novo tipo de ameaça voltada para sites WordPress: um plugin falso que se apresenta como uma ferramenta de segurança legítima, mas que, na verdade, instala um backdoor capaz de garantir controle total ao invasor. A descoberta lança luz sobre uma tática cada vez mais comum: cibercriminosos se aproveitando da confiança que administradores depositam em extensões de proteção para comprometer seus sistemas.
Como funciona o golpe
O plugin malicioso, nomeado “WP-antymalwary-bot.php”, é carregado diretamente no diretório /wp-content/plugins/ e, diferentemente de plugins tradicionais, não aparece no painel administrativo do WordPress. Isso dificulta sua detecção por usuários que dependem apenas da interface para gerenciar extensões.
Uma vez instalado, o plugin se registra como um tipo de ferramenta legítima usando cabeçalhos PHP que simulam um plugin real. Seu principal objetivo é criar um backdoor criptografado que pode ser ativado remotamente por comandos específicos enviados via solicitações HTTP POST, muitas vezes através de arquivos “wp-blog-header.php” ou “wp-login.php”.
Persistência e controle remoto
O código do plugin malicioso implementa um mecanismo de backdoor ofuscado que permite a execução arbitrária de comandos, upload e download de arquivos, além da possibilidade de apagar rastros. Para dificultar ainda mais sua identificação, ele usa uma chave de autenticação estática (“antymalwary_key”) e técnicas de codificação como base64 para esconder sua verdadeira função.
Com isso, os invasores podem retornar ao sistema mesmo após a remoção de outros vetores de ataque, mantendo o acesso de maneira persistente e quase invisível.
Alvo são sites já comprometidos
Segundo os pesquisadores da Wordfence, esse plugin falso não está sendo disseminado em massa por repositórios públicos, mas sim manualmente injetado em sites que já foram comprometidos por outras vulnerabilidades — como temas ou plugins desatualizados. Isso significa que, muitas vezes, o plugin aparece como parte de uma cadeia de ataque mais ampla.
Riscos e recomendações
O impacto da presença desse plugin é significativo: os atacantes podem modificar conteúdos, roubar dados, implantar outros malwares ou até mesmo desativar completamente o site. Como contramedida, é recomendado realizar varreduras regulares com ferramentas como Wordfence, monitorar alterações suspeitas nos diretórios de plugins e manter logs de atividade HTTP para identificar comunicações estranhas.
Administradores também devem reforçar práticas de segurança como uso de autenticação de dois fatores, atualização constante da plataforma e verificação manual dos arquivos carregados no servidor.
Conclusão
O caso do “WP-antymalwary-bot.php” deixa claro que até mesmo plugins que se passam por escudos de proteção podem ser, na verdade, a ponta de lança de ataques sofisticados. Mais do que confiar em nomes ou promessas de segurança, administradores devem cultivar o hábito de auditar tudo o que entra em seu ambiente — inclusive aquilo que, à primeira vista, parece estar protegendo.
