Los actores de amenaza están utilizando el directorio «Mu-Plugins» en los sitios de WordPress para ocultar el código malicioso con el objetivo de mantener el acceso remoto persistente y redirigir a los visitantes del sitio a sitios falsos.
MU-Plugins, abreviatura de complementos de uso imprescindible, se refiere a complementos en un directorio especial («WP-Content/MU-Plugins») que WordPress ejecuta automáticamente sin necesidad de habilitarlos explícitamente a través del tablero de administración. Esto también hace del directorio una ubicación ideal para organizar malware.
«Este enfoque representa una tendencia preocupante, ya que los Mu-Plugins (complementos de uso obligatorio) no figuran en la interfaz de complemento de WordPress estándar, lo que hace que sean menos notables y más fáciles para los usuarios ignorar durante las verificaciones de seguridad de rutina», dijo el investigador de Sucuri, Puja Srivastava, en un análisis.
En los incidentes analizados por la compañía de seguridad del sitio web, se han descubierto tres tipos diferentes de código PHP Rogue en el directorio –
- «WP-Content/Mu-Plugins/Redirect.php», que redirige a los visitantes del sitio a un sitio web malicioso externo
- «WP-Content/Mu-Plugins/Index.php», que ofrece una funcionalidad similar a Web Shell, permitiendo a los atacantes ejecutar código arbitrario descargando un script PHP remoto alojado en GitHub
- «WP-Content/Mu-Plugins/Custom-JS-Loader.php», que inyecta el spam no deseado en el sitio web infectado, probablemente con la intención de promover estafas o manipular las clasificaciones de SEO, reemplazando todas
La «redirección.php», dijo Sucuri, disfrazada de una actualización del navegador web para engañar a las víctimas para instalar malware que puede robar datos o soltar cargas útiles adicionales.
«El script incluye una función que identifica si el visitante actual es un bot», explicó Srivastava. «Esto permite que el script excluya los rastreadores de motores de búsqueda y evite que detecten el comportamiento de redirección».
El desarrollo se produce a medida que los actores de amenaza continúan utilizando sitios de WordPress infectados como fundamentos para engañar a los visitantes del sitio web en la ejecución de comandos maliciosos de PowerShell en sus computadoras de Windows bajo la apariencia de una verificación de Google Recaptcha o Cloudflare Captcha, una táctica prevalente llamada ClickFix, y entrega el Malware de Staaler de Lumma.
Los sitios pirateados de WordPress también se están utilizando para implementar JavaScript malicioso que pueda redirigir a los visitantes a dominios de terceros no deseados o actuar como un skimmer para desviar información financiera ingresada en las páginas de pago.
Actualmente no se sabe cómo se han violado los sitios, pero los sospechosos habituales son complementos o temas vulnerables, credenciales de administración comprometidas y configuraciones erróneas del servidor.
Según un nuevo informe de PatchStack, los actores de amenaza han explotado rutinariamente cuatro vulnerabilidades de seguridad diferentes en los complementos de WordPress desde el comienzo del año –
- CVE -2024-27956 (Puntuación CVSS: 9.9): una vulnerabilidad de ejecución SQL arbitraria no autenticada en WordPress Automatic Plugin – Generador de contenido AI y complemento de cartel automático
- CVE- 2024-25600 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución de código remoto no autenticado en el tema de los ladrillos
- CVE-2024-8353 (puntaje CVSS: 10.0): una inyección de objeto PHP no autenticada a la vulnerabilidad de ejecución de código remoto en el complemento GiveWP en el complemento
- CVE-2024-4345 (puntuación CVSS: 10.0): una vulnerabilidad de carga de archivos arbitraria no autenticada en los complementos de Elemento StartKlar para WordPress
Para mitigar los riesgos planteados por estas amenazas, es esencial que los propietarios de sitios de WordPress mantengan actualizados complementos y temas, de auditoría de manera rutinaria para la presencia de malware, apliquen contraseñas seguras e implementen un firewall de aplicación web para solicitudes maliciosas y eviten inyecciones de código.