Los ciberdelincuentes están aprovechando el directorio “mu-plugins” en sitios de WordPress para ocultar código malicioso, lo que les permite mantener acceso remoto persistente y redirigir a los visitantes a páginas fraudulentas.

El término “mu-plugins” (abreviatura de “must-use plugins”) hace referencia a un directorio especial dentro de “wp-content/mu-plugins” donde WordPress ejecuta automáticamente los complementos sin necesidad de activación manual en el panel de administración. Esta característica convierte el directorio en un blanco ideal para la instalación de malware.

“Esta estrategia es preocupante porque los complementos mu no aparecen en la interfaz estándar de WordPress, lo que los hace menos visibles y más fáciles de pasar por alto durante las revisiones de seguridad”, explicó Puja Srivastava, investigadora de Sucuri, en su análisis.

Amenazas detectadas

La empresa de seguridad ha identificado tres variantes de código PHP malicioso en este directorio:

• “wp-content/mu-plugins/redirect.php”: Redirige a los visitantes a sitios web maliciosos externos.
• “wp-content/mu-plugins/index.php”: Actúa como un shell web, permitiendo la ejecución remota de código mediante la descarga de scripts PHP desde GitHub.
• “wp-content/mu-plugins/custom-js-loader.php”: Inyecta spam en el sitio infectado, con el posible objetivo de manipular el SEO o promover estafas, reemplazando imágenes y secuestrando enlaces a sitios maliciosos.

Sucuri señaló que redirect.php se disfraza como una actualización del navegador para engañar a los usuarios y hacer que instalen malware capaz de robar datos o desplegar cargas adicionales.

“El script incorpora una función que detecta si el visitante es un bot”, comentó Srivastava. “Esto impide que los rastreadores de motores de búsqueda identifiquen la redirección”.

Ataques a WordPress

Los atacantes continúan explotando sitios de WordPress comprometidos para ejecutar comandos maliciosos de PowerShell en dispositivos Windows, haciéndolos pasar por verificaciones de Google reCAPTCHA o Cloudflare CAPTCHA, una táctica conocida como ClickFix. En algunos casos, también han distribuido el malware Lumma Stealer.

Además, se han encontrado sitios de WordPress hackeados que cargan JavaScript malicioso con el propósito de redirigir usuarios a dominios no deseados o robar información financiera introducida en páginas de pago.

Si bien aún se desconoce el vector exacto de las intrusiones, los principales sospechosos incluyen vulnerabilidades en complementos y temas, credenciales de administrador comprometidas y configuraciones erróneas del servidor.

Vulnerabilidades explotadas

Un informe de Patchstack reveló que los actores de amenazas han aprovechado cuatro fallas de seguridad críticas desde principios de 2024:

• CVE-2024-27956 (CVSS: 9.9): Ejecución de SQL arbitraria sin autenticación en el complemento Automatic Plugin – AI Content Generator & Auto Poster Plugin.
• CVE-2024-25600 (CVSS: 10.0): Ejecución remota de código sin autenticación en el tema Bricks.
• CVE-2024-8353 (CVSS: 10.0): Inyección de objetos PHP sin autenticación que permite ejecución remota de código en el complemento GiveWP.
• CVE-2024-4345 (CVSS: 10.0): Carga de archivos arbitrarios sin autenticación en el complemento Startklar Elementor para WordPress.

Medidas de seguridad

Para mitigar estos riesgos, es crucial que los administradores de sitios de WordPress:

• Mantengan actualizados los complementos y temas.
• Realicen auditorías periódicas para detectar malware.
• Utilicen contraseñas seguras.
• Implementen un firewall de aplicaciones web para bloquear solicitudes maliciosas y prevenir inyecciones de código.

Fuente: thehackernews.com