Campanha de phishing visa administradores WordPress com falsas renovações de domínio

Uma nova campanha de phishing está a visar administradores de sites WordPress através de emails fraudulentos de renovação de domínio, concebidos para roubar dados de cartões de crédito e códigos de autenticação de dois fatores.

As mensagens fazem-se passar por notificações legítimas do WordPress[.]com, com o assunto “Renewal due soon – Action required”, recorrendo a linguagem urgente para pressionar os destinatários a agir rapidamente. Os emails alertam para uma alegada interrupção iminente do serviço, sem identificar um domínio específico, o que permite aos atacantes atingir um elevado número de organizações.

O email apresenta um aspeto profissional e credível, desenhado para contornar filtros de spam e reduzir a probabilidade de os destinatários analisarem cuidadosamente o remetente. Ao clicar no link, as vítimas são redirecionadas para uma falsa página de pagamento WordPress alojada em infraestrutura controlada pelos atacantes.

A campanha foi identificada pelo analista independente Anurag Gawande, que analisou a infraestrutura usada e concluiu tratar-se de um ataque sofisticado em várias fases, maximizado para extrair o maior valor possível de cada conta comprometida.

A página fraudulenta replica com detalhe a interface legítima de checkout do WordPress, incluindo preços, cálculos de IVA e logótipos de métodos de pagamento. Um formulário em JavaScript recolhe o nome do titular do cartão, número, data de validade e código CVV. Estes dados são enviados para um script backend que encaminha de imediato a informação para bots controlados pelos atacantes na plataforma Telegram.

Após a submissão dos dados do cartão, a campanha avança para uma segunda fase, focada na recolha de códigos de autenticação forte. As vítimas são confrontadas com um falso ecrã de verificação 3D Secure, onde são solicitados a introduzir códigos OTP recebidos por SMS. Independentemente do código inserido, o sistema devolve sempre uma mensagem de falha, levando os utilizadores a repetir o processo várias vezes.

Este mecanismo permite aos atacantes recolher múltiplos códigos OTP válidos, que são igualmente enviados em tempo real para canais no Telegram através de um endpoint dedicado. A campanha recorre ainda a atrasos artificiais para reforçar a ilusão de legitimidade e reduzir a desconfiança das vítimas.

Em vez de infraestruturas tradicionais de comando e controlo, os atacantes utilizam o Telegram como principal canal de exfiltração, beneficiando de custos reduzidos, encriptação integrada e maior dificuldade de deteção e interrupção.

A análise dos cabeçalhos dos emails indica que a campanha tem origem num domínio de terceiros e é distribuída através de infraestrutura SMTP da Alibaba Cloud, explorando uma política DMARC fraca que não impede spoofing.

Os investigadores recomendam que os administradores WordPress nunca cliquem em links de renovação recebidos por email e verifiquem sempre este tipo de notificações diretamente através do painel oficial do WordPress, como forma de mitigar o risco deste tipo de ataque.