Uma coalizão internacional de polícia judiciária executou a maior limpeza de sites WordPress infectados já registrada contra o SocGholish — malware que usa atualizações falsas de navegador para infectar computadores. Foram derrubados 106 servidores de comando e controle e removidos backdoors de 14.971 sites. O Brasil aparece entre os cinco países mais afectados, com o Evil Corp — grupo russo sancionado — lucrando com o acesso inicial vendido pelo SocGholish a gangues de ransomware como LockBit e RansomHub.

O que aconteceu

Na última quarta-feira (18/06), uma coalizão internacional de polícia judiciária executou a maior limpeza de sites infectados já registrada contra o SocGholish — um dos malwares mais persistentes da última década. Foram derrubados 106 servidores de comando e controle, e 14.971 sites WordPress tiveram backdoors e payloads maliciosos removidos à força pelas autoridades.

A ação integra a Operation Endgame, a operação policial internacional mais ambiciosa contra ransomware e infraestrutura cibercriminosa até hoje. A coordenação coube à Unidade de Alta Tecnologia Criminal dos Países Baixos (NHCTU), com participação da Polícia Montada do Canadá (RCMP), do FBI, da Polícia Criminal Federal da Alemanha (BKA), além de Europol e Eurojust.

O que é o SocGholish

Também conhecido como FakeUpdates, GhoLoader e rastreado como TA569, Mustard Tempest e DEV-0206, o SocGholish é um framework de distribuição de malware baseado em JavaScript. Ele está activo desde 2017 e funciona da seguinte forma: o grupo compromete sites legítimos — predominantemente WordPress — e injeta código que exibe pop-ups falsos de actualização de navegador para os visitantes.

O modelo de negócio do SocGholish é inteligente. Eles não actuam sozinhos — funcionam como um broker de acesso inicial, vendendo o primeiro ponto de entrada na rede da vítima para outras gangues especializadas em ransomware, roubo de credenciais e espionagem corporativa. A The Hacker News descreve o grupo como “indiscriminado”, comprometendo sites em praticamente todos os sectores: saúde, educação, imobiliário, serviços legais e até organizações sem fins lucrativos.

O utilizador comum, ao ver uma notificação de “actualização do Chrome” ou “Firefox precisa ser actualizado”, clica no botão e baixa um executável malicioso. A partir desse momento, o atacante obtém acesso inicial ao sistema da vítima.

Esse acesso inicial é vendido como serviço para outras gangues. Entre os clientes do SocGholish estão grupos ligados ao Evil Corp, a organização criminosa russa responsável pelas operações de ransomware WastedLocker e Hades, associada aos malwares Zeus e Dridex e sancionada múltiplas vezes pelos governos dos EUA e do Reino Unido. Uma vez dentro da rede, esses grupos deployam LockBit, RansomHub, Dridex, AsyncRAT, NetSupport RAT e outros malwares.

Brasil entre os mais atingidos

Dados da Shadowserver Foundation mostram que o Brasil figura entre os cinco países com mais sites WordPress comprometidos pelo SocGholish, atrás apenas de Estados Unidos, Alemanha, França e Índia. Ao todo, os investigadores identificaram 1,44 milhão de instâncias WordPress com credenciais expostas, distribuídas por 1,13 milhão de domínios em 187 países.

A Malwarebytes aponta que muitos dos sites limpos eram negócios locais — restaurantes, oficinas mecânicas, clínicas — o que significa que visitantes brasileiros que acessavam sites aparentemente confiáveis foram redirecionados para downloads de malware sem nenhum indício visual.

Segundo a Infoblox, aproximadamente 55% dos clientes da sua plataforma na nuvem tentaram acessar infraestrutura do SocGholish apenas neste ano, o que mostra a escala massiva da distribuição por meio de sites comprometidos.

Como os sites eram comprometidos

O SocGholish não se limita a explorações técnicas sofisticadas. As principais vias de infecção incluem:

  • Credenciais vazadas ou reutilizadas: Com 1,4 milhão de pares de login em mãos, os atacantes simplesmente entram via wp-admin.
  • Password spraying: Tentativas automatizadas de adivinhar senhas fracas em massa.
  • Exploração de plugins desactualizados: WordPress powers mais de 43% de todos os sites na web, e a superfície de ataque é enorme — como vimos recentemente com o Gravity SMTP e o Avada Builder, falhas em plugins WordPress afectam centenas de milhares de sites de uma só vez.
  • Domain Shadowing: O grupo cria subdomínios maliciosos dentro de domínios legítimos, usando a reputação do domínio original para escapar de filtros DNS e firewalls.

O TDS funciona como um distribuidor de tráfego malicioso: redireciona os visitantes para páginas de phishing, scam financeiro ou downloads de malware dependendo do perfilfingerprinado. Os atacantes analisam endereço IP, sistema operacional, navegador e localização antes de escolher o payload ideal para cada vítima.

A operação e os desafios

A BleepingComputer confirmou que as autoridades holandesas usaram seus poderes de hacking para remover backdoors e malware directamente dos 14.971 sites infectados. Os donos dos sites foram notificados e orientados a:

  1. Trocar imediatamente todas as credenciais de acesso
  2. Activar autenticação multifator (MFA)
  3. Eliminar contas WordPress desconhecidas que foram criadas pelos atacantes
  4. Actualizar WordPress, plugins e temas

Mesmo com essa limpeza massiva, especialistas alertam que a ameaça não desapareceu. O SocGholish opera há quase uma década, possui múltiplas vias de reinfectar sites e conta com uma rede de afiliados que vende tráfego para a plataforma. A SecurityWeek destacou que a operação é “o início, não o fim” da acção contra o SocGholish.

O que fazer agora

Se você administra um site WordPress — seja um blog pessoal, o site da sua empresa ou um e-commerce — a lição é directa. Verifique se existem contas de utilizador que você não criou. Activar MFA no painel administrativo não é opcional, é o mínimo. E se ainda usa “admin” como username ou uma senha que aparece em listas de passwords mais comuns, mude hoje.

Para utilizadores finais, a regra permanece a mesma: nunca confie em pop-ups de actualização de navegador dentro de uma página web. Actualizações legítimas vêm do próprio sistema operativo ou da loja de aplicações — nunca de um banner flutuante num site aleatório. O SocGholish depende de engenharia social sofisticada para funcionar, e a melhor defesa continua a ser o senso crítico.

Referências