Steam Community: O Novo Campo de Batalha para Controle de Malware em Sites WordPress
Uma campanha de malware recém-descoberta explora comentários em perfis do Steam Community para comandar sites WordPress infectados. A carga maliciosa é oculta em caracteres Unicode invisíveis, permitindo que os atacantes enviem comandos através de perfis de usuários aparentemente inofensivos.
MundiX News·06 de junho de 2026·4 min de leitura·👁 15 views
Quase 2.000 sites operando sob o gerenciamento do WordPress foram comprometidos por um malware peculiar que utiliza os comentários na Steam Community como sua infraestrutura de comando e controle (C2). O código malicioso esconde sua carga útil (payload) em caracteres Unicode invisíveis, recebendo instruções através de perfis de usuários comuns da Steam.
A campanha foi identificada por especialistas da GoDaddy. De acordo com seus dados, a atividade maliciosa está em andamento desde pelo menos julho de 2025, com sinais de infecção detectados em aproximadamente 1.980 recursos. A forma exata como os atacantes obtêm o acesso inicial aos sites ainda não está clara. As estimativas dos pesquisadores sugerem que as possibilidades incluem o roubo de credenciais de administradores ou de acesso FTP/SFTP, comprometimento da cadeia de suprimentos, exploração de temas e plugins vulneráveis para WordPress, entre outras vetores de ataque.
Após a exploração inicial, o primeiro componente do malware é injetado no site. Este componente faz requisições a perfis específicos da Steam Community quando as páginas são carregadas. À primeira vista, os comentários nesses perfis parecem inofensivos. No entanto, dentro do texto, estão ocultos caracteres Unicode invisíveis. Para codificar os dados, os atacantes empregam seis caracteres Unicode específicos: Zero-width non-joiner (U+200C), Zero-width joiner (U+200D), Function application (U+2061), Invisible times (U+2062), Invisible separator (U+2063) e Invisible plus (U+2064). O malware ignora todo o texto visível e processa apenas esses caracteres, convertendo-os em dados binários.
"O texto visível atua como um disfarce, enquanto a carga útil real está oculta nos caracteres invisíveis", explicam os especialistas da GoDaddy. Após a decodificação, o malware obtém o endereço hello-mywordl[.]info, de onde baixa um código JavaScript. Este script é então injetado em todas as páginas do site infectado. Para fornecer camuflagem adicional, o malware utiliza nomes de arquivos como asahi-jquery-min-bundle e lodash.core.min.js, que visam dar a impressão de serem bibliotecas JavaScript legítimas.
Na fase final do ataque, um backdoor é implantado no servidor. Ele aguarda requisições POST especialmente formatadas e só é ativado se um cookie de autenticação específico estiver presente. Se a verificação for bem-sucedida, os atacantes ganham a capacidade de enviar código PHP codificado em Base64 para o servidor e executá-lo remotamente. Para evitar a detecção, o malware emprega várias técnicas simultaneamente. Os pesquisadores mencionam a ofuscação de strings através de sequências hexadecimais e octais, nomes de funções gerados aleatoriamente e o uso ativo de APIs padrão do WordPress, o que permite que a atividade maliciosa se misture com a operação normal do site.
Recomenda-se que os proprietários de recursos gerenciados por WordPress verifiquem seus logs em busca de acessos à Steam Community, JavaScripts externos suspeitos e conexões com o domínio hello-mywordl[.]info. Indicadores adicionais de comprometimento podem incluir caracteres Unicode ocultos no código, entradas incomuns do tipo transient_caption, verificação SSL desativada em requisições cURL, bem como requisições POST com o parâmetro new_code.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Quase 2.000 sites operando sob o gerenciamento do WordPress foram comprometidos por um malware peculiar que utiliza os comentários na Steam Community como sua infraestrutura de comando e controle (C2). O código malicioso esconde sua carga útil (payload) em caracteres Unicode invisíveis, recebendo instruções através de perfis de usuários comuns da Steam.
A campanha foi identificada por especialistas da GoDaddy. De acordo com seus dados, a atividade maliciosa está em andamento desde pelo menos julho de 2025, com sinais de infecção detectados em aproximadamente 1.980 recursos. A forma exata como os atacantes obtêm o acesso inicial aos sites ainda não está clara. As estimativas dos pesquisadores sugerem que as possibilidades incluem o roubo de credenciais de administradores ou de acesso FTP/SFTP, comprometimento da cadeia de suprimentos, exploração de temas e plugins vulneráveis para WordPress, entre outras vetores de ataque.
Após a exploração inicial, o primeiro componente do malware é injetado no site. Este componente faz requisições a perfis específicos da Steam Community quando as páginas são carregadas. À primeira vista, os comentários nesses perfis parecem inofensivos. No entanto, dentro do texto, estão ocultos caracteres Unicode invisíveis. Para codificar os dados, os atacantes empregam seis caracteres Unicode específicos: Zero-width non-joiner (U+200C), Zero-width joiner (U+200D), Function application (U+2061), Invisible times (U+2062), Invisible separator (U+2063) e Invisible plus (U+2064). O malware ignora todo o texto visível e processa apenas esses caracteres, convertendo-os em dados binários.
"O texto visível atua como um disfarce, enquanto a carga útil real está oculta nos caracteres invisíveis", explicam os especialistas da GoDaddy. Após a decodificação, o malware obtém o endereço hello-mywordl[.]info, de onde baixa um código JavaScript. Este script é então injetado em todas as páginas do site infectado. Para fornecer camuflagem adicional, o malware utiliza nomes de arquivos como asahi-jquery-min-bundle e lodash.core.min.js, que visam dar a impressão de serem bibliotecas JavaScript legítimas.
Na fase final do ataque, um backdoor é implantado no servidor. Ele aguarda requisições POST especialmente formatadas e só é ativado se um cookie de autenticação específico estiver presente. Se a verificação for bem-sucedida, os atacantes ganham a capacidade de enviar código PHP codificado em Base64 para o servidor e executá-lo remotamente. Para evitar a detecção, o malware emprega várias técnicas simultaneamente. Os pesquisadores mencionam a ofuscação de strings através de sequências hexadecimais e octais, nomes de funções gerados aleatoriamente e o uso ativo de APIs padrão do WordPress, o que permite que a atividade maliciosa se misture com a operação normal do site.
Recomenda-se que os proprietários de recursos gerenciados por WordPress verifiquem seus logs em busca de acessos à Steam Community, JavaScripts externos suspeitos e conexões com o domínio hello-mywordl[.]info. Indicadores adicionais de comprometimento podem incluir caracteres Unicode ocultos no código, entradas incomuns do tipo transient_caption, verificação SSL desativada em requisições cURL, bem como requisições POST com o parâmetro new_code.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
