Los actores de amenaza están utilizando el directorio «Mu-Plugins» en los sitios de WordPress para ocultar el código ladino con el objetivo de sustentar el llegada remoto persistente y redirigir a los visitantes del sitio a sitios falsos.
MU-Plugins, sigla de complementos de uso imprescindible, se refiere a complementos en un directorio singular («WP-Content/MU-Plugins») que WordPress ejecuta automáticamente sin requisito de habilitarlos explícitamente a través del tablero de dependencia. Esto asimismo hace del directorio una ubicación ideal para organizar malware.
«Este enfoque representa una tendencia preocupante, ya que los Mu-Plugins (complementos de uso obligatorio) no figuran en la interfaz de complemento de WordPress típico, lo que hace que sean menos notables y más fáciles para los usuarios ignorar durante las verificaciones de seguridad de rutina», dijo el investigador de Sucuri, Puja Srivastava, en un investigación.
En los incidentes analizados por la compañía de seguridad del sitio web, se han descubierto tres tipos diferentes de código PHP Rogue en el directorio –
- «WP-Content/Mu-Plugins/Redirect.php», que redirige a los visitantes del sitio a un sitio web ladino foráneo
- «WP-Content/Mu-Plugins/Index.php», que ofrece una funcionalidad similar a Web Shell, permitiendo a los atacantes ejecutar código injusto descargando un script PHP remoto alojado en GitHub
- «WP-Content/Mu-Plugins/Custom-JS-Loader.php», que inyecta el spam no deseado en el sitio web infectado, probablemente con la intención de promover estafas o manipular las clasificaciones de SEO, reemplazando todas
La «redirección.php», dijo Sucuri, disfrazada de una puesta al día del navegador web para engañar a las víctimas para instalar malware que puede robar datos o soltar cargas bártulos adicionales.
«El script incluye una función que identifica si el visitante flagrante es un bot», explicó Srivastava. «Esto permite que el script excluya los rastreadores de motores de búsqueda y evite que detecten el comportamiento de redirección».
El progreso se produce a medida que los actores de amenaza continúan utilizando sitios de WordPress infectados como fundamentos para engañar a los visitantes del sitio web en la ejecución de comandos maliciosos de PowerShell en sus computadoras de Windows bajo la apariencia de una comprobación de Google Recaptcha o Cloudflare Captcha, una táctica prevalente emplazamiento ClickFix, y entrega el Malware de Staaler de Lumma.
Los sitios pirateados de WordPress asimismo se están utilizando para implementar JavaScript ladino que pueda redirigir a los visitantes a dominios de terceros no deseados o ejecutar como un skimmer para desviar información financiera ingresada en las páginas de plazo.
Actualmente no se sabe cómo se han violado los sitios, pero los sospechosos habituales son complementos o temas vulnerables, credenciales de dependencia comprometidas y configuraciones erróneas del servidor.
Según un nuevo noticia de PatchStack, los actores de amenaza han explotado rutinariamente cuatro vulnerabilidades de seguridad diferentes en los complementos de WordPress desde el manifestación del año –
- CVE -2024-27956 (Puntuación CVSS: 9.9): una vulnerabilidad de ejecución SQL arbitraria no autenticada en WordPress Automatic Plugin – Creador de contenido AI y complemento de cartel forzoso
- CVE- 2024-25600 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución de código remoto no autenticado en el tema de los ladrillos
- CVE-2024-8353 (puntaje CVSS: 10.0): una inyección de objeto PHP no autenticada a la vulnerabilidad de ejecución de código remoto en el complemento GiveWP en el complemento
- CVE-2024-4345 (puntuación CVSS: 10.0): una vulnerabilidad de carga de archivos arbitraria no autenticada en los complementos de Dato StartKlar para WordPress
Para mitigar los riesgos planteados por estas amenazas, es esencial que los propietarios de sitios de WordPress mantengan actualizados complementos y temas, de auditoría de modo rutinaria para la presencia de malware, apliquen contraseñas seguras e implementen un firewall de aplicación web para solicitudes maliciosas y eviten inyecciones de código.
