Los investigadores de ciberseguridad descubren nuevas puestas de sigilo escondidas dentro del directorio «Mu-Plugins» de los sitios de WordPress, subvisor el acceso a amenazas y permiten que se realicen cualquier acción.
Los complementos requeridos (también conocidos como MU-Plugins) son complementos especiales que se activan automáticamente en todos los sitios de WordPress en su instalación. Por defecto, se encuentra en el directorio «WP-Content/MU-Plugins».
Lo que los hace atractivos para los atacantes es que Mu-Plugin no aparece en la lista predeterminada de complementos en la página de complementos WP-Admin y no se puede deshabilitar, excepto para eliminar los archivos de complementos de los directorios requeridos.
Como resultado, algún malware que utiliza esta técnica puede funcionar en silencio sin elevar una bandera roja.
En la enfermedad infecciosa descubierta por la compañía de seguridad web Sucuri, un script PHP en el directorio mu-plugins («wp-index.php») actúa como un cargador y lo almacena en la base de datos de WordPress en la tabla WP_options bajo _hdra_core.
La carga remota se toma de una URL ofuscada usando ROT13. Este es un cifrado de reemplazo simple que reemplaza a un carácter con el 13º carácter (es decir, A se convierte en N, B y C se convierte en P).
«El contenido obtenido se escribe temporalmente en disco y se ejecuta», dijo la investigadora de seguridad Puja Srivastava. «Esta puerta trasera proporciona a los atacantes acceso permanente al sitio y la capacidad de ejecutar el código PHP de forma remota.
Específicamente, inyecta el Administrador de archivos oculto en el directorio de temas como «Table-3.Php» y permite a los actores de amenaza ver, cargar o eliminar archivos. También crea un usuario administrador llamado «WP oficial» y descarga y activa el complemento malicioso («WP-Bot-Protect.php»).
Además de revivir la infección en caso de eliminación, el malware también incluye la capacidad de cambiar las contraseñas de nombres de usuario del administrador común como «administrador», «root» y «wpsupport» en la contraseña predeterminada establecida por el atacante. Esto también se extiende a sus propios usuarios «WP» oficiales.
Al hacerlo, los actores de amenaza disfrutan de acceso permanente al sitio, toman acciones maliciosas y bloquean efectivamente a otros administradores. Esto va desde el robo de datos hasta la inserción del código que puede servir al malware, redirigiendo a los visitantes al sitio.
«Los atacantes obtienen acceso de administrador completo y puertas traseras permanentes, lo que permite que su sitio haga cualquier cosa, desde instalar más malware para contaminarlo», dice Srivastava. «Las características de la ejecución de comandos remotos y la inyección de contenido significan que los atacantes pueden cambiar el comportamiento del malware».
Para mitigar estas amenazas, es esencial que los propietarios de sitios actualicen regularmente WordPress, temas y complementos, asegure sus cuentas utilizando la autenticación de dos factores y auditar regularmente todas las secciones del sitio, incluidos los temas y los archivos de complementos.
Source link
