Ciberataques en WordPress: uso de "mu-plugins" para ocultar malware

Los ciberdelincuentes están explotando el directorio "mu-plugins" en sitios de WordPress para ocultar código malicioso y garantizar acceso remoto persistente, redirigiendo a los visitantes a sitios fraudulentos.

¿Qué es "mu-plugins" y por qué es un objetivo para el malware?

Los "mu-plugins" (Must-Use Plugins) son plugins ubicados en el directorio especial wp-content/mu-plugins que WordPress ejecuta automáticamente sin necesidad de activación manual. Esto los convierte en un objetivo ideal para los atacantes, ya que no aparecen en la interfaz estándar de administración de plugins, dificultando su detección.

Según el investigador de Sucuri, Puja Srivastava, "este enfoque representa una tendencia preocupante, ya que los mu-plugins no figuran en la interfaz estándar de WordPress, lo que los hace menos perceptibles y más fáciles de ignorar durante los controles de seguridad".

Tipos de código malicioso detectado en "mu-plugins"

Sucuri identificó tres tipos de código PHP malicioso dentro de este directorio:

• wp-content/mu-plugins/redirect.php: Redirige a los usuarios a sitios maliciosos externos.
• wp-content/mu-plugins/index.php: Funciona como un shell web para ejecutar código remoto desde GitHub.
• wp-content/mu-plugins/custom-js-loader.php: Inyecta spam y reemplaza imágenes con contenido explícito para manipular el SEO y secuestrar enlaces.

El archivo redirect.php se hace pasar por una actualización de navegador para engañar a los usuarios y distribuir malware capaz de robar datos o lanzar ataques adicionales. Además, los scripts maliciosos identifican si el visitante es un bot para evitar la detección por los motores de búsqueda.

Tendencias en ataques a WordPress

Los sitios de WordPress comprometidos también son utilizados para tácticas como ClickFix, que engaña a los usuarios haciéndoles ejecutar comandos maliciosos de PowerShell en Windows bajo la apariencia de una verificación de Google reCAPTCHA o Cloudflare CAPTCHA. Esta técnica se ha utilizado para distribuir el malware Lumma Stealer.

Otra estrategia común es la inyección de JavaScript malicioso, que puede redirigir a los usuarios a dominios peligrosos o actuar como un skimmer para robar información financiera en formularios de pago.

Vulnerabilidades explotadas en WordPress en 2024

Según un informe de Patchstack, los actores de amenazas han explotado varias vulnerabilidades críticas en WordPress este año:

• CVE-2024-27956 (CVSS 9.9): Ejecución de SQL arbitraria en WordPress Automatic Plugin.
• CVE-2024-25600 (CVSS 10.0): Ejecución remota de código en el tema Bricks.
• CVE-2024-8353 (CVSS 10.0): Inyección de objetos PHP en el complemento GiveWP.
• CVE-2024-4345 (CVSS 10.0): Carga de archivos arbitrarios en Startklar Elementor Addons.

¿Cómo proteger tu sitio de WordPress?

Para reducir el riesgo de estos ataques, se recomienda:

• Actualizar plugins y temas regularmente.
• Auditar el código en busca de malware.
• Utilizar contraseñas seguras y autenticación en dos pasos.
• Implementar un firewall de aplicaciones web (WAF) para bloquear tráfico malicioso.
• Revisar regularmente el directorio mu-plugins en busca de archivos sospechosos.

En conclusión, el uso de "mu-plugins" para ocultar malware representa una amenaza emergente en WordPress. Mantener la seguridad del sitio es esencial para evitar infecciones y garantizar la integridad de los datos y la experiencia del usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta