Malware usa Steam como C2
Uma campanha de malware descoberta por pesquisadores da GoDaddy infectou cerca de 1.980 sites WordPress desde julho de 2025 usando uma técnica inédita: perfis da plataforma Steam como canal de comando e controle (C2). O ataque emprega caracteres Unicode invisíveis para esconder instruções maliciosas em comentários aparentemente inofensivos, dificultando a detecção por ferramentas tradicionais de segurança.
O mecanismo de infecção ainda não foi totalmente esclarecido. Os pesquisadores avaliam que os invasores exploraram credenciais de administrador roubadas, falhas em plugins ou temas vulneráveis, ou ataques de cadeia de suprimentos. Uma vez instalado, o malware se divide em duas funções principais: injeção de JavaScript malicioso nas páginas do site e instalação de uma backdoor persistente no servidor.
Esteganografia em caracteres invisíveis
O aspecto mais sofisticado do ataque é o uso de esteganografia com caracteres Unicode invisíveis para codificar dados binários dentro de textos aparentemente normais. Seis caracteres especiais — zero-width non-joiner (U+200C), zero-width joiner (U+200D), function application (U+2061), invisible times (U+2062), invisible separator (U+2063) e invisible plus (U+2064) — mapeiam dígitos de 0 a 5, que são convertidos em binário para reconstruir URLs e instruções.
Quando a página de um site infectado é carregada, o malware faz uma requisição cURL para perfis específicos do Steam Community, extrai o conteúdo dos comentários e decodifica os caracteres invisíveis. O resultado aponta para o domínio hello-mywordl[.]info, que entrega JavaScript malicioso injetado em todas as páginas do site WordPress. Arquivos são disfarçados com nomes como asahi-jquery-min-bundle e lodash.core.min.js.
Criptografia e backdoor persistente
As comunicações C2 contam com uma camada adicional de proteção: criptografia AES-256-CTR com derivação de chave PBKDF2 (10.000 iterações com SHA-512) e autenticação HMAC-SHA256. Essa combinação torna a interceptação e análise do tráfego extremamente difícil.
No servidor, o malware instala uma backdoor que responde a requisições POST contendo um cookie de autenticação específico (tEcaKKXEsb). Uma vez autenticado, o invasor pode enviar código PHP codificado em base64 para modificar arquivos de plugins e temas. Os nomes de funções são randomizados e strings são ofuscadas com escapes octais e hexadecimais para evitar detecção.
| Etapa | Ação do ataque |
|---|---|
| 1 — Coleta C2 | cURL busca comentários em perfis Steam Community |
| 2 — Decodificação | Caracteres Unicode invisíveis são extraídos e convertidos em URL |
| 3 — Injeção JS | JavaScript do domínio hello-mywordl[.]info é injetado nas páginas |
| 4 — Backdoor | Cookie autenticado permite execução remota de código PHP |
Como detectar e se proteger
Administradores de sites WordPress devem verificar logs de acesso em busca de conexões de saída para steamcommunity[.]com originadas do servidor web. A presença de transients com prefixo _transient_caption_ no banco de dados, scripts externos carregados de hello-mywordl[.]info e requisições POST com o cookie tEcaKKXEsb são indicadores de comprometimento.
A GoDaddy recomenda restaurar o site a partir de um backup limpo anterior à infecção. A remoção manual parcial é insuficiente: qualquer componente remanescente permite que os invasores reinstalem o malware pela backdoor. Atualize todos os plugins e temas, altere credenciais de administrador e FTP, e monitore conexões de saída do servidor com regras de firewall. Ferramentas como o Wordfence podem ajudar na detecção de modificações suspeitas em arquivos.
Para mais detalhes sobre como ataques a sites WordPress funcionam e como se proteger, consulte o caso do site de e-commerce que distribuiu malware.