Minaccia nascosta nei siti WordPress: l’uso dei mu-plugins
Gli attori delle minacce stanno sfruttando la directory “mu-plugins” nei siti WordPress per nascondere codice malevolo, con l’obiettivo di mantenere un accesso remoto persistente e reindirizzare i visitatori del sito verso siti fasulli. I mu-plugins, abbreviazione di must-use plugins, si riferiscono a plugin in una directory speciale (“wp-content/mu-plugins”) che vengono eseguiti automaticamente da WordPress senza la necessità di abilitarli esplicitamente tramite la dashboard di amministrazione. Questo rende la directory un luogo ideale per inscenare malware.
Secondo l’analisi della ricercatrice di Sucuri, Puja Srivastava, “questo approccio rappresenta una tendenza preoccupante, poiché i mu-plugins non sono elencati nell’interfaccia standard dei plugin di WordPress, rendendoli meno visibili e più facili da ignorare durante i controlli di sicurezza di routine”.
Tipologie di codice malevolo nei mu-plugins
Nei casi analizzati dalla società di sicurezza web, sono stati scoperti tre diversi tipi di codice PHP dannoso nella directory:
- “wp-content/mu-plugins/redirect.php”: reindirizza i visitatori del sito a un sito web esterno malevolo.
- “wp-content/mu-plugins/index.php”: offre funzionalità simili a una web shell, permettendo agli attaccanti di eseguire codice arbitrario scaricando uno script PHP remoto ospitato su GitHub.
- “wp-content/mu-plugins/custom-js-loader.php”: inietta spam indesiderato sul sito infetto, probabilmente con l’intento di promuovere truffe o manipolare i ranking SEO, sostituendo tutte le immagini del sito con contenuti espliciti e dirottando i link in uscita verso siti malevoli.
Il file “redirect.php”, secondo Sucuri, si maschera come un aggiornamento del browser web per ingannare le vittime e indurle a installare malware che può rubare dati o scaricare ulteriori payload. “Lo script include una funzione che identifica se il visitatore corrente è un bot”, ha spiegato Srivastava. “Questo permette allo script di escludere i crawler dei motori di ricerca e impedire loro di rilevare il comportamento di reindirizzamento”.
Nuove tattiche di attacco e vulnerabilità sfruttate
Lo sviluppo arriva mentre gli attori delle minacce continuano a utilizzare siti WordPress infetti come basi per ingannare i visitatori del sito a eseguire comandi PowerShell malevoli sui loro computer Windows sotto le spoglie di una verifica Google reCAPTCHA o Cloudflare CAPTCHA, una tattica prevalente chiamata ClickFix, e distribuire il malware Lumma Stealer. I siti WordPress compromessi vengono anche utilizzati per distribuire JavaScript malevolo che può reindirizzare i visitatori a domini di terze parti indesiderati o agire come un skimmer per sottrarre informazioni finanziarie inserite nelle pagine di pagamento.
Attualmente non è noto come i siti possano essere stati violati, ma i soliti sospetti sono plugin o temi vulnerabili, credenziali di amministrazione compromesse e configurazioni errate del server. Secondo un nuovo rapporto di Patchstack, gli attori delle minacce hanno sfruttato regolarmente quattro diverse vulnerabilità di sicurezza dall’inizio dell’anno:
- CVE-2024-27956 (punteggio CVSS: 9.9) – Una vulnerabilità di esecuzione SQL arbitraria non autenticata nel plugin WordPress Automatic Plugin – generatore di contenuti AI e plugin di auto-pubblicazione.
- CVE-2024-25600 (punteggio CVSS: 10.0) – Una vulnerabilità di esecuzione di codice remoto non autenticata.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
