O custo real de plugins não licenciados

Publicados: 2021-01-19

Observação: você está interessado em saber como a equipe do Jetpack investiga malware para ajudar a proteger seu site? Então nós temos você coberto. As conclusões são para todos, mas a segunda metade do artigo requer algum conhecimento técnico de como o WordPress funciona.

Criar seu novo site de negócios ou seu blog pessoal é realmente emocionante! Escolher um bom tema que mostre sua visão e selecionar os plugins adequados para oferecer a melhor experiência do usuário não é uma tarefa fácil e provavelmente aumentará o custo de ter este projeto em funcionamento. A pirataria de software pode ser tentadora como uma medida fácil de economia de custos.

Além de softwares como Windows 10, Microsoft Office ou Adobe Creative Suite, você também encontrará extensões piratas do WordPress. Baixar plugins e temas de sites que não são distribuidores licenciados só aumentará seu custo a longo prazo. Deixe-me explicar por quê.

Em 2018, a BSA publicou o Global Software Survey, onde apresenta alguns números impressionantes:

  • 37% de todos os softwares instalados em computadores pessoais não são licenciados
  • O custo de correção de malware ou vírus instalados a partir de software pirata é de quase US$ 360 bilhões por ano

Alguns podem argumentar que um tema ou plugin pirata do WordPress não causará danos ao seu computador ou nem representará uma ameaça às suas informações, pois está sendo executado no computador de outra pessoa (também conhecido como nuvem). Isso não poderia estar mais errado.

Questione o discurso de vendas

Muitos engenheiros de software dependem de outras empresas para distribuir e vender seu trabalho. Além das vias de distribuição legítimas, existem sites de software pirata. Eles não precisam se preocupar com código de engenharia porque o roubam para lucrar. Eles gastam seu tempo concentrando-se no discurso de vendas, já que seu único objetivo é fazer com que você baixe e instale o software pirata.

Exemplo de anúncio com tema pirata

Por que pagar os desenvolvedores e o distribuidor se você pode obtê-lo gratuitamente?

Recomendamos que você seja cauteloso com qualquer site que tenha muitos anúncios e botões de download que possam confundi-lo e aumentar seus resultados ao aumentar os cliques no site. Além disso, fique atento a violações claras de distribuição, como o exemplo da imagem acima.

O acordo com Mefistófeles – Lendo as letras miúdas

Do folclore alemão, Fausto, visando obter mais conhecimento e poder, fez um pacto com o Diabo. Da mesma forma, os sites que fornecem versões piratas de extensões do WordPress não são claros sobre o que receberão em troca, então você está assumindo todo o risco.

Não se preocupe, estamos aqui para ajudá-lo a entender o acordo que você realmente está assinando.

Baixei este tema Cinematix de um site de temas obscuros. Imediatamente notei que o conteúdo do arquivo readme.txt é o mesmo da versão 2.3 do tema padrão Twenty Seventeen.

Exemplo de código de tema nulo
É o tema Cinematix ou Twenty Seventeen?

Aconselhamos que você não faça isso sozinho, mas como somos profissionais de segurança, fui em frente e segui as instruções. Renomeei o nome do diretório de nld_theme_index para cinematix . Isso parecia completamente desnecessário e de fato era.

Na seção de temas do meu wp-admin, pude ver que o tema estava instalado, mas parecia desligado porque não havia imagem de visualização. Talvez se eu ativá-lo, ele funcionará?

Nenhuma visualização disponível, talvez seja apenas uma questão de ativá-la.

Após a ativação, recebi uma pequena mensagem de que tenho que comprar o software! Você nunca será solicitado a comprar uma licença de tema para um tema gratuito do diretório do WordPress. Existem muitos temas premium excelentes que exigem uma compra, mas isso geralmente vem antes do download. Não pague por temas que você não baixou do desenvolvedor ou empresa que os criou.

Mas a mensagem dizia que era grátis... E o que foi esse erro de digitação?

Em nome da ciência, vou remover esse cadeado e usar o tema Cinematix gratuitamente.

Como previsto, este “Tema Cinematix” é na verdade apenas o tema livre de código aberto Twenty Seventeen disfarçado. Vimos isso acontecer olhando para o readme.txt anteriormente.

Vamos explorar o código e ver o que podemos encontrar, mas por onde começamos? O tema falso já nos deu uma dica quando tentou nos convencer a pagar por uma licença que não precisávamos. A mensagem LICENÇA DE TEMA INVÁLIDA, COMPRA POR FAVOR não faz parte do Twenty Seventeen e pode ser nosso guia para localizar outras coisas desagradáveis.

Encontrei esta mensagem em /inc/template-tags.php , que também está presente no tema original. No entanto, o código não é, e é nosso primeiro indicador de comprometimento para esse malware. 

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');
  • SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
  • MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

Tudo o que precedeu essa função era obviamente malicioso e perigoso; vamos dar uma olhada:

A primeira função lá ( getUserIpAddr() ) não é ruim por si só, mas é usada pelo activate_nulled_theme() para fornecer informações do site comprometido ao ligar para casa.

A primeira coisa que ele faz é adicionar o usuário wp_rest_api como Administrador ao site, e aqui temos nosso segundo Indicador de Compromisso.

Eles não apenas estão tentando fazer com que você compre uma licença que você não precisa, mas também estão “telefonando para casa” (uma oportunidade para o código malicioso compartilhar informações sobre seu site com o autor do tema falso). Você pode ver o código para phone-home na função wp-remote_post , onde está configurado para enviar a URL, o endereço IP e as credenciais do seu site.

Para aqueles que estão lendo e não são especialistas, o que estamos vendo aqui é que o código malicioso neste tema pirata enviará um nome de usuário e senha aos hackers para que eles possam fazer login no seu site. Isso dará a eles acesso a conteúdo privado, pedidos de lojas de comércio eletrônico e controle total do seu site.

Além de tudo isso, ele descarta uma cópia deste código /inc/adminindex.php para wp-includes , wp-admin e wp-content/uploads . Você consegue adivinhar o que esse arquivo faz?

É um Backdoor de upload de arquivo, que fornece ao invasor o endereço do seu site, um usuário administrador e uma maneira de inserir qualquer malware adicional que ele queira adicionar. Este é nosso último indicador de comprometimento, embora neste momento seja apenas a cereja do bolo malicioso.

  • SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
  • MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

Conclusão

Usar software pirata pode parecer uma maneira fácil de cortar custos, mas por trás das cortinas, pode estar causando coisas terríveis ao seu site e, posteriormente, a você ou seus visitantes. Os kits de exploração, como nossos amigos da MalwareBytes compartilharam neste post, podem ser adicionados ao seu site usando este backdoor de upload de arquivo ou o usuário wp_rest_api e usados ​​para atacar os navegadores de qualquer visitante.

É altamente recomendável que você tenha um plano de segurança para seu site que inclua verificação e backups de arquivos maliciosos. Comprar seu software permite que os desenvolvedores continuem seu trabalho, mas, mais importante, garante que seu site e seus visitantes estejam seguros.