Olá a todos!
Nos últimos dias percebemos uma quantidade considerável de chamados relacionados a alerta de malware em alguns websites e analisando o caso, não observamos evidências de ataques aos websites infectados e identificamos particularidades similares em todos os casos, estes estão utilizando o CMS Joomla e a popular extensão Autson Skitter Slideshow.

Nós buscamos uma cópia deste plugin para realizar uma análise e verificamos que esta extensão não está mais publicada no diretório de extensões do Joomla por estar sob investigação como é possível observar nesta imagem.
Observamos um website comprometido e não localizamos nenhuma possível backdoor na extensão em questão, entretanto, o arquivo infectado geralmente é o mesmo e tem a mesma data de alteração dos demais arquivos da extensão, o que nos leva a crer que o código malicioso tenha sido injetado ainda nos repositórios da extensão ou seus próprios desenvolvedores e ao instalá-la, o administrador esteja infectando o seu próprio website de forma despercebida, o fato da extensão ter sido desativada do diretório de downloads do Joomla amplia ainda mais a crença nesta hipótese.
Se você utiliza o CMS Joomla e a extensão Autson Skitter Slideshow, poderá verificar se o seu website está infectado analisando o arquivo modules/mod_AutsonSlideShow/tmpl/default.php buscando por uma função chamada dnnViewState() escrita em JavaScript. Os clientes que possuem acesso SSH podem executar o seguinte comando para realizar esta análise:
[code]find modules/mod_AutsonSlideShow -exec grep -i dnnviewstate {} -ls ;[/code]
O comando deve ser executado no diretório de instalação do seu Joomla.
Se você localizar esta função, recomendamos que a remova imediatamente ou desinstale a extensão em questão o mais rapidamente possível uma vez que este poderá estar colocando em risco a segurança dos seus visitantes.

Compromisso HostDime

Temos por política interna manter nossos servidores sempre atualizados com os últimos patches/releases de segurança e ressaltamos a importância de manter suas aplicações sempre atualizadas em sua última versão estável disponível, além de sempre buscar instalar extensões e componentes a partir dos repositórios oficiais e sempre que possível, buscar verificar se o pacote instalado não foi alterado, o que pode ser feito por meio de comparação de hashes.
Este caso em específico chama a atenção devido ao fato desta popular extensão, possivelmente comprometida, ter estado disponível no próprio diretório de extensões do Joomla. Nós atualizaremos este post na medida em que conseguirmos mais informações sobre o caso.
Estamos disponíveis para sanar quaisquer dúvidas sobre o caso em nossos canais de atendimento.