Dreigingsactoren gebruiken de “mu-plugins” -map in WordPress-sites om kwaadaardige code te verbergen met als doel persistente externe toegang te handhaven en bezoekers van de site om te leiden naar nepsites.
Mu-plugins, kort voor must-use plug-ins, verwijst naar plug-ins in een speciale map (“WP-content/mu-plugins”) die automatisch door WordPress worden uitgevoerd zonder dat ze expliciet via het admin-dashboard moeten worden ingeschakeld. Dit maakt de map ook een ideale locatie voor het organiseren van malware.
“Deze benadering vertegenwoordigt een betreffende trend, omdat de MU-plugins (must-use plug-ins) niet worden vermeld in de standaard WordPress-plug-in-interface, waardoor ze minder opvallend en gemakkelijker voor gebruikers kunnen negeren tijdens routinematige beveiligingscontroles,” zei Sucuri-onderzoeker Puja Srivastava in een analyse.
In de incidenten geanalyseerd door het Website Security Company zijn drie verschillende soorten malafide PHP -code ontdekt in de directory –
- “WP-Content/Mu-Plugins/Redirect.php,” die bezoekers van de site omleidt naar een externe kwaadaardige website
- “WP-content/mu-plugins/index.php”, die web shell-achtige functionaliteit biedt, waardoor aanvallers willekeurige code kunnen worden uitgevoerd door een externe PHP-script te downloaden die is gehost op GitHub
- “WP-Content/mu-plugins/custom-js-loader.php,” dat ongewenste spam injecteert in de geïnfecteerde website, waarschijnlijk met de bedoeling om zwendel te bevorderen of SEO-ranglijsten te manipuleren, door alle afbeeldingen op de site te vervangen door expliciete inhoud en outbound-links naar kwaadaardige locaties
De “Redirect.php,” zei Sucuri, vermomd als een update van de webbrowser om slachtoffers te misleiden om malware te installeren die gegevens kunnen stelen of extra payloads kunnen laten vallen.
“Het script bevat een functie die identificeert of de huidige bezoeker een bot is,” legde Srivastava uit. “Hierdoor kan het script zoekmachine crawlers uitsluiten en voorkomen dat ze het omleidingsgedrag detecteren.”
De ontwikkeling komt omdat dreigingsactoren besmettelijke WordPress -sites blijven gebruiken als stadiumgronden om websitebezoekers te misleiden om kwaadaardige PowerShell -commando’s op hun Windows -computers uit te voeren onder het mom van een Google Recaptcha of CloudFlare Captcha -verificatie – een heersende tactiek genaamd ClickFix – en de Lumma Stealer Malware te leveren.
Hackte WordPress-sites worden ook gebruikt om kwaadwillend JavaScript te implementeren die bezoekers kan omleiden naar ongewenste domeinen van derden of als een skimmer om te siphon financiële informatie die op betaalpagina’s is ingevoerd.
Het is momenteel niet bekend hoe de sites mogelijk zijn overtreden, maar de gebruikelijke verdachten zijn kwetsbare plug -ins of thema’s, gecompromitteerde beheerdersreferenties en server verkeerd configuraties.
Volgens een nieuw rapport van PatchStack hebben dreigingsacteurs sinds het begin van het jaar routinematig vier verschillende beveiligingskwetsbaarheden geëxploiteerd –
- CVE -2024-27956 (CVSS -score: 9.9) – Een niet -geauthenticeerde willekeurige SQL -uitvoeringskwetsbaarheid in WordPress Automatic Plugin – AI Content Generator en Auto Poster Plugin
- CVE- 2024-25600 (CVSS SCORE: 10.0)- Een niet-geauthenticeerde kwetsbaarheid voor externe code-uitvoering in stenen thema
- CVE-2024-8353 (CVSS-score: 10.0)-Een niet-geauthenticeerde PHP-objectinjectie tot kwetsbaarheid voor externe code-uitvoering in GiveWP-plug-in
- CVE-2024-4345 (CVSS-score: 10.0)-Een niet-geauthenticeerde willekeurige kwetsbaarheid voor het uploaden
Om de risico’s van deze bedreigingen te verminderen, is het essentieel dat WordPress -site -eigenaren plug -ins en thema’s up -to -date houden, routinematig code controleren voor de aanwezigheid van malware, sterke wachtwoorden afdwingt en een webtoepassing firewall implementeert in schadelijke verzoeken en code -injecties voorkomen.
