Pesquisadores de cibersegurança descobriram uma nova backdoor discreta oculta no diretório "mu-plugins" de sites WordPress para conceder aos atacantes acesso persistente e permitir que eles realizem ações arbitrárias.
Plugins de uso obrigatório (conhecidos como mu-plugins) são plugins especiais que são automaticamente ativados em todos os sites WordPress na instalação.
Eles estão localizados no diretório "wp-content/mu-plugins" por padrão.
O que os torna uma opção atraente para os atacantes é que mu-plugins não aparecem na lista padrão de plugins na página de Plugins do wp-admin e não podem ser desabilitados exceto removendo o arquivo do plugin do diretório must-use.
Como resultado, um malware que utiliza essa técnica pode funcionar silenciosamente, sem levantar suspeitas.
Na infecção identificada pela empresa de segurança web Sucuri, o script PHP no diretório mu-plugins ("wp-index.php") atua como um carregador para buscar um payload de próxima fase e salvar na base de dados do WordPress na tabela wp_options sob _hdra_core.
O payload remoto é recuperado de uma URL que é ofuscada usando ROT13, uma cifra de substituição simples que substitui uma letra pela 13ª letra após ela (ou seja, A se torna N, B se torna O, C se torna P, e assim por diante).
"O conteúdo buscado é então temporariamente escrito no disco e executado", disse o pesquisador de segurança Puja Srivastava.
"Esta backdoor dá ao atacante acesso persistente ao site e a capacidade de executar qualquer código PHP remotamente.
Especificamente, ela injeta um gerenciador de arquivos oculto no diretório do tema como "pricing-table-3.php", permitindo que os atacantes naveguem, façam upload ou apaguem arquivos.
Também cria um usuário administrador chamado "officialwp" e depois baixa um plugin malicioso ("wp-bot-protect.php") e o ativa.
Além de restabelecer a infecção em caso de exclusão, o malware incorpora a capacidade de alterar as senhas de nomes de usuário administrador comuns, como "admin", "root" e "wpsupport", para uma senha padrão definida pelo atacante.
Isso também se estende ao seu próprio usuário "officialwp".
Ao fazer isso, os atacantes podem desfrutar de acesso persistente aos sites e realizar ações maliciosas, enquanto efetivamente bloqueiam outros administradores.
Isso pode variar de roubo de dados à injeção de código que pode entregar malware aos visitantes do site ou redirecioná-los para outros sites fraudulentos.
"Os atacantes ganham acesso total de administrador e uma backdoor persistente, permitindo que eles façam qualquer coisa no site, desde instalar mais malware até desfigurá-lo", disse Srivastava.
Os recursos de execução de comando remoto e injeção de conteúdo significam que os atacantes podem alterar o comportamento do malware.
Para mitigar essas ameaças, é essencial que os proprietários de sites atualizem o WordPress, temas e plugins periodicamente, protejam as contas usando autenticação de dois fatores e auditem regularmente todas as seções do site, incluindo arquivos de tema e plugins.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...