Kampanye malware WordPress menyembunyikan muatan di profil Steam

Hampir 2.000 situs WordPress terinfeksi malware yang mengandalkan komentar profil Komunitas Steam untuk menyembunyikan data perintah dan kontrol (C2).

Pelaku ancaman menggunakan karakter Unicode yang tidak terlihat untuk menyandikan muatan yang membuat URL ke skrip berbahaya. Dengan memanfaatkan platform Valve, penyerang menghindari pemeliharaan infrastruktur C2 terpisah dan menghindari metode deteksi tradisional.

Sejak kampanye ini pertama kali ditemukan pada Juli 2025, teknisi keamanan GoDaddy telah menemukan malware di sekitar 1.980 situs WordPress.

Tidak jelas bagaimana para peretas dapat membobol situs web tersebut, namun para peneliti menilai bahwa vektor infeksi awal berkisar dari login admin yang dicuri atau kredensial FTP/SFTP yang disusupi hingga eksploitasi tema atau plugin WordPress yang rentan, atau penyusupan rantai pasokan.

Malware tahap pertama yang ditanam di situs web menggunakan pemuatan halaman WordPress untuk menjangkau profil Steam tertentu dan mengekstrak teks dari komentar yang tampak tidak berbahaya.

Namun, teks tersebut menyertakan karakter Unicode tersembunyi yang menyembunyikan muatan berbahaya yang terkadang disamarkan sebagai seni ASCII.

Peneliti GoDaddy mencatat dalam laporannya bahwa pelaku ancaman menggunakan enam karakter Unicode yang tidak terlihat untuk muatan yang dikodekan:

• Non-penggabung dengan lebar nol (U+200C)
• Penggabung lebar nol (U+200D)
• Aplikasi fungsi (U+2061)
• Waktu tak terlihat (U+2062)
• Pemisah tak terlihat (U+2063)
• Nilai tambah tak terlihat (U+2064)

Decoder mengabaikan karakter apa pun yang terlihat dan memetakan karakter yang tidak terlihat ke nomor yang sesuai; kemudian mengubahnya menjadi representasi biner dan merekonstruksi byte dari aliran biner.

“Pengkodean ini memungkinkan data biner untuk dimasukkan ke dalam teks yang terlihat normal. Karakter yang terlihat berfungsi sebagai kamuflase sementara karakter yang tidak terlihat membawa muatan sebenarnya,” kata GoDaddy.

Menurut para peneliti, payload yang didekodekan digunakan untuk membangun hello-mywordl[.]URL info menyajikan kode JavaScript yang dimasukkan ke setiap halaman frontend WordPress.

Berdasarkan nama file (misalnya, asahi-jquery-min-bundle dan lodash.core.min.js), malware yang diambil disamarkan sebagai pustaka JavaScript yang sah.

Tahap terakhir dari serangan ini adalah penerapan pintu belakang yang merespons permintaan POST yang dibuat khusus yang menyertakan cookie autentikasi tertentu. Jika “cookie tEcaKKXEsb ada, pintu belakang menerima kode PHP yang dikodekan base64 melalui parameter POST,” jelas para peneliti.

GoDaddy menjelaskan beberapa mekanisme penghindaran yang digunakan oleh malware, termasuk string yang dikaburkan menggunakan pelolosan oktal dan hex, nama fungsi yang diacak, kode logging palsu yang dinonaktifkan, dan penggunaan API WordPress standar, yang memungkinkannya menyatu dengan aktivitas normal.

Pemilik situs dapat melakukan pembelaan dengan memeriksa referensi ke URL Komunitas Steam, suntikan JavaScript eksternal yang mencurigakan, koneksi keluar dari server WordPress ke Steam, dan skrip tak terduga yang dimuat dari domain seperti hello-mywordl[.]info.

Indikator lainnya termasuk karakter Unicode yang tidak terlihat, entri cache _transient_caption_ yang mencurigakan, verifikasi SSL yang dinonaktifkan dalam permintaan cURL, dan permintaan POST yang berisi cookie autentikasi malware atau parameter new_code.

Para peneliti merekomendasikan agar tim keamanan memprioritaskan pemulihan dari cadangan yang diketahui baik sebelum tanggal infeksi. Jika hal ini tidak memungkinkan, proses pembersihan manual harus dilakukan secara menyeluruh karena “penyerang dapat menginstal ulang kode yang dihapus melalui pintu belakang jika ada komponen yang tetap aktif.”