Los actores de amenaza están utilizando el directorio “Mu-Plugins” en los sitios de WordPress para ocultar el código malvado con el objetivo de ayudar el golpe remoto persistente y redirigir a los visitantes del sitio a sitios falsos.
MU-Plugins, sigla de complementos de uso imprescindible, se refiere a complementos en un directorio singular (“WP-Content/MU-Plugins”) que WordPress ejecuta automáticamente sin carencia de habilitarlos explícitamente a través del tablero de sucursal. Esto asimismo hace del directorio una ubicación ideal para organizar malware.
“Este enfoque representa una tendencia preocupante, ya que los Mu-Plugins (complementos de uso obligatorio) no figuran en la interfaz de complemento de WordPress unificado, lo que hace que sean menos notables y más fáciles para los usuarios ignorar durante las verificaciones de seguridad de rutina”, dijo el investigador de Sucuri, Puja Srivastava, en un prospección.
En los incidentes analizados por la compañía de seguridad del sitio web, se han descubierto tres tipos diferentes de código PHP Rogue en el directorio –
- “WP-Content/Mu-Plugins/Redirect.php”, que redirige a los visitantes del sitio a un sitio web malvado forastero
- “WP-Content/Mu-Plugins/Index.php”, que ofrece una funcionalidad similar a Web Shell, permitiendo a los atacantes ejecutar código despótico descargando un script PHP remoto alojado en GitHub
- “WP-Content/Mu-Plugins/Custom-JS-Loader.php”, que inyecta el spam no deseado en el sitio web infectado, probablemente con la intención de promover estafas o manipular las clasificaciones de SEO, reemplazando todas
La “redirección.php”, dijo Sucuri, disfrazada de una aggiornamento del navegador web para engañar a las víctimas para instalar malware que puede robar datos o soltar cargas efectos adicionales.
“El script incluye una función que identifica si el visitante contemporáneo es un bot”, explicó Srivastava. “Esto permite que el script excluya los rastreadores de motores de búsqueda y evite que detecten el comportamiento de redirección”.
El crecimiento se produce a medida que los actores de amenaza continúan utilizando sitios de WordPress infectados como fundamentos para engañar a los visitantes del sitio web en la ejecución de comandos maliciosos de PowerShell en sus computadoras de Windows bajo la apariencia de una demostración de Google Recaptcha o Cloudflare Captcha, una táctica prevalente llamamiento ClickFix, y entrega el Malware de Staaler de Lumma.
Los sitios pirateados de WordPress asimismo se están utilizando para implementar JavaScript malvado que pueda redirigir a los visitantes a dominios de terceros no deseados o efectuar como un skimmer para desviar información financiera ingresada en las páginas de plazo.
Actualmente no se sabe cómo se han violado los sitios, pero los sospechosos habituales son complementos o temas vulnerables, credenciales de sucursal comprometidas y configuraciones erróneas del servidor.
Según un nuevo crónica de PatchStack, los actores de amenaza han explotado rutinariamente cuatro vulnerabilidades de seguridad diferentes en los complementos de WordPress desde el principio del año –
- CVE -2024-27956 (Puntuación CVSS: 9.9): una vulnerabilidad de ejecución SQL arbitraria no autenticada en WordPress Automatic Plugin – Alternador de contenido AI y complemento de cartel obligatorio
- CVE- 2024-25600 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución de código remoto no autenticado en el tema de los ladrillos
- CVE-2024-8353 (puntaje CVSS: 10.0): una inyección de objeto PHP no autenticada a la vulnerabilidad de ejecución de código remoto en el complemento GiveWP en el complemento
- CVE-2024-4345 (puntuación CVSS: 10.0): una vulnerabilidad de carga de archivos arbitraria no autenticada en los complementos de Punto StartKlar para WordPress
Para mitigar los riesgos planteados por estas amenazas, es esencial que los propietarios de sitios de WordPress mantengan actualizados complementos y temas, de auditoría de guisa rutinaria para la presencia de malware, apliquen contraseñas seguras e implementen un firewall de aplicación web para solicitudes maliciosas y eviten inyecciones de código.
