Los investigadores de ciberseguridad han descubierto una nueva puerta trasera sigilosa oculta dentro del directorio «Mu-Plugins» en los sitios de WordPress para otorgar a los actores de amenaza el acceso persistente y permitirles realizar acciones arbitrarias.
Los complementos de uso obligatorio (también conocido como MU-Plugins) son complementos especiales que se activan automáticamente en todos los sitios de WordPress en la instalación. Se encuentran en el directorio «WP-Content/MU-Plugins» de forma predeterminada.
Lo que los convierte en una opción atractiva para los atacantes es que MU-Plugins no se muestran en la lista predeterminada de complementos en la página de complementos de WP-Admin y no se pueden deshabilitar, excepto eliminando el archivo de complemento del directorio de uso obligatorio.
Como resultado, una pieza de malware que aprovecha esta técnica le permite funcionar en silencio, sin elevar las banderas rojas.
En la infección manchada por la compañía de seguridad web Sucuri, el script PHP en el directorio mu-plugins («wp-index.php») sirve como cargador para obtener una carga útil de la próxima etapa y guardarla en la base de datos de WordPress dentro de la tabla WP_options bajo _hdra_core.
La carga remota se recupera de una URL que se ofusca usando ROT13, un cifrado de sustitución simple que reemplaza una carta con la 13ª letra después (es decir, A se convierte en N, B se convierte en O, C se convierte en P, y así sucesivamente).
«El contenido obtenido se escribe temporalmente en el disco y se ejecuta», dijo la investigadora de seguridad Puja Srivastava. «Esta puerta trasera le da al atacante acceso persistente al sitio y la capacidad de ejecutar cualquier código PHP de forma remota.
Específicamente, inyecta un administrador de archivos oculto en el directorio de temas como «Table de precios-3.Php», lo que permite a los actores de amenaza navegar, cargar o eliminar archivos. También crea un usuario administrador llamado «OficialWP» y luego descarga un complemento malicioso («WP-Bot-Protect.php») y lo activa.
Además de restablecer la infección en caso de eliminación, el malware incorpora la capacidad de cambiar las contraseñas de los nombres de usuario del administrador común, como «administrador», «root» y «wpsupport», a una contraseña predeterminada establecida por el atacante. Esto también se extiende a su propio usuario «OficialWP».
Al hacerlo, la amenaza que los actores pueden disfrutar de un acceso persistente a los sitios y realizar acciones maliciosas, al tiempo que bloquean efectivamente a otros administradores. Esto puede variar desde el robo de datos hasta el código de inyección que puede servir a los visitantes del sitio o redirigirlos a otros sitios de estafa.
«Los atacantes obtienen acceso completo al administrador y una puerta trasera persistente, lo que les permite hacer cualquier cosa en el sitio, desde instalar más malware hasta desfigurarlo», dijo Srivastava. «Las características de ejecución de comandos y inyección de contenido remotos significan que los atacantes pueden cambiar el comportamiento del malware».
Para mitigar estas amenazas, es esencial que los propietarios de sitios actualicen WordPress, temas y complementos periódicamente, asegure cuentas que utilizan autenticación de dos factores y auditen regularmente todas las secciones del sitio, incluidos los archivos de temas y complementos.