Blog

Blog Attacks

Resumo de Ataques Client-Side – T1 2025

A pesquisa da cside revelou quase 300.000 sites comprometidos no primeiro trimestre de 2025.

Apr 30, 2025 • 10 min read

Simon Wijckmans Founder & CEO

Autoria: Equipe de Pesquisa de Ameaças da cside

Resumo Executivo

O primeiro trimestre de 2025 foi marcado por uma escalada acentuada nos ataques client-side direcionados a sites de múltiplos setores, com foco especial em plataformas baseadas em WordPress. A pesquisa da cside revelou quase 300.000 sites comprometidos, evidenciando uma dependência crescente dos atacantes em mecanismos de entrega baseados em JavaScript, vulnerabilidades em cadeias de fornecimento de terceiros e táticas de engenharia social enganosas, como falsas atualizações de navegador.

Para CISOs, líderes de risco digital e demais responsáveis pela segurança, este relatório apresenta as campanhas mais críticas detectadas neste trimestre, com detalhes técnicos e visão estratégica para embasar decisões proativas.

Insight Principal para Executivos: As ameaças cibernéticas modernas exploram interações baseadas no navegador e a confiança dos usuários em plataformas CMS populares. Defendê-las exige visibilidade sobre comportamentos em tempo de execução, governança rigorosa de scripts e inteligência de ameaças coordenada. Além disso, ataques client-side direcionados a plataformas de criptomoedas e ambientes de pagamento representam riscos desproporcionais, mesmo correspondendo a um volume menor do total de incidentes.

Principais Campanhas Client-Side

1. Sequestros de Página Inteira Redirecionando para Sites de Apostas Chineses

Detectado: Janeiro de 2025
Sites Impactados: 150.000+
Causa Raiz: JavaScript injetado via plugin sequestrado ou CDN de ativos.
Infraestrutura do Ataque: Domínios como zuizhongyj[.]com e seus subdomínios foram responsáveis por injetar iframes que tomavam conta de todo o viewport.
Características Notáveis: Redirecionamento condicional baseado em região e navegador
Ofuscação de scripts e URLs construídas dinamicamente
Alto foco em dispositivos móveis com cliques direcionados ao Android

Risco Estratégico: Perda significativa de confiança e penalidades de SEO; vários sites foram colocados na lista negra do Google.

https://cside.com/blog/over-150k-websites-hit-by-full-page-hijack-linking-to-chinese-gambling-sites

2. Comprometimento de Cadeia de Fornecimento JavaScript (4 Backdoors Embutidos)

Detectado: Janeiro de 2025
Sites Impactados: 5.000+
Origem do Payload: cdn.csyndication[.]com (anteriormente um provedor confiável de hospedagem de ativos).
Ações Maliciosas Embutidas: Instalação de plugin para acesso persistente
Infecção do wp-config.php
Injeção de chave SSH via tarefas agendadas
Comunicação de reverse shell com gsocket[.]io

Objetivos do Adversário: Manter controle de longo prazo, coletar credenciais e se mover lateralmente em ambientes de hospedagem compartilhada.

https://cside.com/blog/thousands-of-websites-hit-by-four-backdoors-in-3rd-party-javascript-attack

3. Golpe de Apostas Chinesas Kaiyun – Campanha Variante

Detectado: Fevereiro de 2025
Sites Impactados: 35.000+
Táticas: Imitação de anúncios legítimos de jogos por meio de sobreposições em tela cheia e uso de variantes de idioma com segmentação geográfica.
Observações Principais: Reutilização de domínios: mlbetjs[.]com, zuizhongjs[.]com
Perfilamento de IP e navegador para evasão de detecção

Resultado: Confusão de marca e desvio de conversões nos sites comerciais afetados.

https://cside.com/blog/over-35-000-websites-targeted-in-full-page-hijack-linking-to-a-chinese-language-gambling-scam

4. Campanha de Falsa Atualização de Navegador com Malware Multiplataforma

Detectado: Março de 2025
Sites Impactados: 10.000+
Mecanismo: JavaScript carregado via iframe exibia um modal falso de atualização para Chrome/Firefox.
Payloads Entregues: AMOS Stealer (macOS): Capturava iCloud Keychain, navegadores e arquivos
SocGholish (Windows): Usava WMI e PowerShell para persistência

Preocupação com Conformidade: Sites usados para distribuição podem enfrentar exposição regulatória (GDPR, CCPA).

https://cside.com/blog/10-000-wordpress-websites-found-delivering-macos-and-microsoft-malware

5. Envenenamento de SEO via ScriptAPI em Sites Acadêmicos e Governamentais

Detectado: Janeiro de 2025
Sites Impactados: ~1.000
Perfil do Alvo: Domínios .edu e .gov utilizando pacotes JS desatualizados
Comportamento do Ataque: Injeções ocultas no DOM para construção de links de SEO; redirecionamentos camuflados para conteúdo de apostas e adulto
Impacto nos Negócios: Rebaixamento algorítmico nos SERPs
Abuso da credibilidade acadêmica/governamental para envenenamento de backlinks

https://cside.com/blog/government-and-university-websites-targeted-in-scriptapi-dev-client-side-attack

6. Campanha WP3.XYZ – Criação Automatizada de Backdoor no WordPress

Detectado: Janeiro de 2025
Sites Impactados: 5.000+
Vetor Inicial: Script JS de wp3[.]xyz incluído em temas/plugins comprometidos
Principais Descobertas: Criação silenciosa de conta wpx_admin
Implantação de plugin para modificar fluxos de login
Exfiltração de credenciais e tokens

Remediação: Requer rotação de credenciais de administrador, limpeza de malware e verificação de plugins

https://cside.com/blog/over-5k-wordpress-sites-caught-in-wp3xyz-malware-attack

Recomendações Estratégicas para Executivos e CISOs

Governança de Risco Client-Side: Exija revisões pré-implantação e monitoramento pós-implantação de todos os ativos JavaScript de terceiros.
Capacidades de Detecção em Tempo de Execução: Invista em monitoramento comportamental de páginas web para identificar ameaças como iframing, roubo de credenciais ou cadeias de redirecionamento.
CMS Web como Alvo de Alto Valor: O WordPress, apesar de amplamente utilizado, exige atenção de nível empresarial com aplicação automatizada de patches e verificação de plugins.
Zero Trust para Entrega de Conteúdo: Aplique os princípios de Zero Trust a scripts JS. Presuma comprometimento e registre cada interação.
Playbooks de Resposta e Simulações: Crie exercícios de tabletop para ataques à cadeia de fornecimento, injeção client-side e comprometimento de credenciais com base em cenários reais.

Visão Geral das Métricas-Chave

Métrica	Resultado T1 2025
Total de Sites Comprometidos	Quase 300.000
Novas Técnicas de Ataque Client-Side Observadas	5 (sequestro via iframe, envenenamento de SEO, malware multiplataforma, etc.)
Principais Comprometimentos de Cadeia de Fornecimento	2
CMS Predominantemente Visado	WordPress
Principais Setores Afetados	E-commerce, Mídia, Governo, Academia
Exposição Regulatória	Riscos de não conformidade com GDPR e CCPA
Riscos de Conformidade Destacados	PCI-DSS, GDPR, CCPA
Ataques ao Setor de Criptomoedas	Baixo volume, alto impacto financeiro

Número de Sites Impactados por Tipo de Ataque

Tendências Estratégicas Observadas no T1 2025

Durante o primeiro trimestre de 2025, alguns padrões estratégicos importantes emergiram nas atividades de ataques client-side:

1. Ascensão das Ameaças Multiplataforma

Os ataques não se limitam mais apenas a usuários Windows. Campanhas de malware (como o AMOS Stealer) expandiram-se agressivamente para ecossistemas macOS, sinalizando uma evolução em direção à segmentação multiplataforma.

2. Abuso de Cadeias de Fornecimento Confiáveis

O comprometimento do cdn.csyndication[.]com demonstra que os atacantes visam cada vez mais fornecedores terceiros de boa reputação para maximizar o impacto em escala.
Os ataques à cadeia de fornecimento agora vão além do software e atingem infraestruturas de entrega de ativos (JavaScript/CDNs).

3. Maior Sofisticação nas Técnicas de Evasão

Uso generalizado de: Geofencing de IP
Fingerprinting de navegador
Priorização mobile para evadir detecções automatizadas e aumentar a precisão na segmentação de usuários.

4. Proliferação do Envenenamento de SEO

Os ataques exploram cada vez mais domínios de alta autoridade (como .edu e .gov) para envenenamento de mecanismos de busca, visando monetização indireta em vez de exploração direta.

5. WordPress Continua como a Principal Superfície de Ataque

Apesar de anos de conscientização, plugins/temas WordPress sem patches continuam sendo o principal ponto de entrada para comprometimentos em larga escala.

Impacto em Conformidade e Regulação

Comprometimentos client-side, especialmente aqueles que entregam malware ou fazem uso indevido de informações pessoais, geram sérios riscos de conformidade.

1. Regulamento Geral de Proteção de Dados (GDPR)

Redirecionamentos com malware ou sites comprometidos podem ser interpretados como uma violação das obrigações de segurança de dados previstas no Artigo 32 do GDPR.
Multas potenciais de até €20 milhões ou 4% do faturamento global, o que for maior.

2. Risco PCI-DSS: Comprometimentos de Pagamento Client-Side

Ataques de skimming client-side como Magecart e Formjacking criam violações diretas dos requisitos do PCI-DSS v4.0. Organizações que processam dados de titulares de cartão devem proteger os scripts client-side para evitar interceptação não autorizada. Uma violação nesse ambiente pode resultar em:

Divulgação obrigatória conforme as diretrizes PCI
Multas elevadas
Danos à marca e à confiança dos clientes

Dada a prevalência de ataques baseados em JavaScript, proteger o ambiente do lado do navegador é agora essencial para a conformidade com o PCI.

3. Lei de Privacidade do Consumidor da Califórnia (CCPA)

Sites que inadvertidamente distribuem malware ou phishing podem enfrentar ações judiciais por direito privado e penalidades regulatórias sob a CCPA.

4. Reputação de Marca e Exposição Legal

Organizações que não protegem seus ativos client-side correm o risco de: Ações judiciais de clientes
Perda de reputação
Remoção de plataformas de publicidade e mecanismos de busca (Google, Microsoft)

Previsão de Riscos para o T2 2025

Com base nas tendências de ataque observadas no T1, a cside prevê os seguintes desenvolvimentos para o T2:

Tendência Prevista	Probabilidade	Descrição
Ascensão do Phishing Client-Side Aprimorado por IA	Alta	Atacantes devem usar IA para criar modais dinâmicos de atualização falsa e páginas de login falsas.
Expansão para Cadeias de Fornecimento de Apps Mobile	Média	Ataques semelhantes à cadeia de fornecimento podem começar a visar SDKs de aplicativos e bibliotecas voltadas para mobile.
Crescimento de Campanhas de Envenenamento de SEO	Alta	O abuso de sites acadêmicos e governamentais para manipulação de SEO deve continuar.
Ataques à Cadeia de Fornecimento de CDN e Plugins	Alta	Os atacantes continuarão a comprometer hosts de ativos populares e plugins do WordPress.
Surgimento de Ataques JavaScript de Cryptomining	Média	Tendência adormecida pode ressurgir no T2 visando sessões de navegador sem monitoramento.
Campanhas Direcionadas de Drenagem de Carteiras Cripto	Média	Os atacantes priorizarão alvos cripto de alto valor apesar do baixo volume geral. As perdas por incidente podem ser catastróficas.

Recomendações Estratégicas para Executivos e CISOs

As organizações precisam evoluir das defesas de perímetro tradicionais para o monitoramento de segurança do navegador em tempo real. Confira as recomendações práticas da cside:

1. Governança de Risco Client-Side

Estabeleça políticas formais para revisão pré-implantação e monitoramento contínuo de todos os ativos JavaScript de terceiros.
Mantenha um inventário de scripts aprovados com controle de versão e verificações de integridade.

2. Capacidades de Detecção em Tempo de Execução

Implemente monitoramento comportamental da atividade ao vivo do site: Detectar injeções de iframe
Monitorar eventos de manipulação do DOM
Sinalizar conexões de saída não autorizadas

As soluções devem alertar sobre comportamentos suspeitos antes que os usuários sejam impactados.

3. Zero Trust para Conteúdo de Terceiros

Trate todo conteúdo externo como não confiável por padrão: Aplique cabeçalhos CSP (Content Security Policy) para restringir o carregamento de ativos não aprovados.
Use Subresource Integrity (SRI) para verificar a integridade dos scripts.

4. Postura de Segurança Aprimorada para WordPress

Exija aplicação automatizada de patches para todos os plugins e atualizações do núcleo do WordPress.
Exija o uso exclusivo de plugins e temas verificados e de alta qualidade.
Monitore a criação de contas administrativas em busca de anomalias.

5. Prepare e Teste Playbooks de Resposta a Incidentes

Realize exercícios de tabletop regulares com foco em: Comprometimento de scripts client-side
Cenários de violação da cadeia de fornecimento
Limpeza de envenenamento de SEO

Inclua fluxos de comunicação para divulgação rápida a reguladores quando necessário (GDPR, CCPA).

Considerações Finais

O cenário de ameaças no início de 2025 reflete uma mudança de paradigma: os atacantes não precisam mais invadir a infraestrutura. Basta comprometer um script. O front-end é o novo campo de batalha. As organizações precisam ir além das defesas server-side e adotar estratégias de segurança client-side proativas e em tempo real. Os defensores devem reconhecer que mesmo ameaças de baixa frequência, como comprometimentos de ativos cripto e skimming de cartões, têm potencial para impactos desproporcionais. As estratégias de defesa devem priorizar tanto cenários baseados em volume quanto ataques de alto valor e baixa frequência.

A cside continua monitorando e publicando ameaças emergentes para capacitar os defensores e proteger a confiança digital.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.