Ciberseguridad 360 | Hackers explotan mu-plugins de WordPress para inyectar spam y secuestrar imágenes

Los actores de amenazas est�n utilizando el directorio "mu-plugins" de los sitios de WordPress para ocultar c�digo malicioso con el objetivo de mantener un acceso remoto persistente y redirigir a los visitantes del sitio a sitios falsos.

mu-plugins, abreviatura de must-use plugins, hace referencia a los plugins de un directorio especial ("wp-content/mu-plugins") que WordPress ejecuta autom�ticamente sin necesidad de activarlos expl�citamente a trav�s del panel de administraci�n. Esto tambi�n hace que el directorio sea un lugar ideal para escenificar malware.

"Este enfoque representa una tendencia preocupante, ya que los mu-plugins (Must-Use plugins) no aparecen en la interfaz est�ndar de plugins de WordPress, lo que los hace menos visibles y m�s f�ciles de ignorar por los usuarios durante los controles de seguridad rutinarios", afirma en un an�lisis Puja Srivastava, investigador de Sucuri.

En los incidentes analizados por la empresa de seguridad de sitios web, se han descubierto tres tipos diferentes de c�digo PHP fraudulento en el directorio:

"wp-content/mu-plugins/redirect.php", que redirige a los visitantes del sitio a un sitio web externo malicioso.

"wp-content/mu-plugins/index.php", que ofrece una funcionalidad similar al shell web, permitiendo a los atacantes ejecutar c�digo arbitrario descargando un script PHP remoto alojado en GitHub.

"wp-content/mu-plugins/custom-js-loader.php", que inyecta spam no deseado en el sitio web infectado, probablemente con la intenci�n de promover estafas o manipular las clasificaciones SEO, mediante la sustituci�n de todas las im�genes del sitio con contenido expl�cito y el secuestro de enlaces salientes a sitios maliciosos.

El "redirect.php", seg�n Sucuri, se hace pasar por una actualizaci�n del navegador web para enga�ar a las v�ctimas e instalar malware que puede robar datos o soltar payloads adicionales.

"El script incluye una funci�n que identifica si el visitante actual es un bot", explic� Srivastava. "Esto permite al script excluir a los rastreadores de los motores de b�squeda y evitar que detecten el comportamiento de redirecci�n".

El desarrollo se produce mientras los actores de amenazas siguen utilizando sitios de WordPress infectados como escenarios para enga�ar a los visitantes del sitio web para que ejecuten comandos PowerShell maliciosos en sus ordenadores Windows bajo la apariencia de una verificaci�n reCAPTCHA de Google o CAPTCHA de Cloudflare -una t�ctica prevalente llamada ClickFix- y entregar el malware Lumma Stealer.

Los sitios WordPress pirateados tambi�n se est�n utilizando para desplegar JavaScript malicioso que puede redirigir a los visitantes a dominios de terceros no deseados o actuar como un skimmer para desviar la informaci�n financiera introducida en las p�ginas de pago.

Por el momento se desconoce c�mo se han vulnerado los sitios, pero los sospechosos habituales son plugins o temas vulnerables, credenciales de administrador comprometidas y errores de configuraci�n del servidor.

Seg�n un nuevo informe de Patchstack, las amenazas han explotado de forma rutinaria cuatro vulnerabilidades de seguridad diferentes desde principios de a�o.

CVE-2024-27956 (CVSS score: 9.9): Una vulnerabilidad de ejecuci�n arbitraria de SQL no autenticada en WordPress Automatic Plugin - AI content generator and auto poster plugin

CVE-2024-25600 (puntuaci�n CVSS: 10,0): Vulnerabilidad de ejecuci�n remota de c�digo no autenticada en el tema Bricks.

CVE-2024-8353 (puntuaci�n CVSS: 10.0): Vulnerabilidad de inyecci�n de objetos PHP no autenticada y ejecuci�n remota de c�digo en el plugin GiveWP.

CVE-2024-4345 (puntuaci�n CVSS: 10.0): Vulnerabilidad de carga arbitraria de archivos no autenticada en Startklar Elementor Addons para WordPress.

Para mitigar los riesgos que plantean estas amenazas, es esencial que los propietarios de sitios WordPress mantengan actualizados los plugins y los temas, auditen peri�dicamente el c�digo para detectar la presencia de malware, apliquen contrase�as seguras y desplieguen un cortafuegos de aplicaciones web para las peticiones maliciosas y evitar las inyecciones de c�digo.

Fuente: thehackernews