Hackers estão utilizando o diretório de mu-plugins ("Must-Use Plugins") do WordPress para executar, de forma furtiva, código malicioso em todas as páginas e ao mesmo tempo evitando serem detectados.
A técnica foi observada pela primeira vez pelos pesquisadores de segurança da Sucuri em fevereiro de 2025, mas a taxa de adoção vem aumentando, com os threat actors agora utilizando a pasta para executar três tipos distintos de código malicioso.
"O fato de termos visto tantas infecções dentro de mu-plugins sugere que os atacantes estão ativamente visando este diretório como um ponto de apoio persistente," explica o analista de segurança da Sucuri, Puja Srivastava.
Must-Use Plugins (mu-plugins) são um tipo especial de plugin do WordPress que executam automaticamente em cada carregamento de página sem necessidade de serem ativados no painel admin.
Eles são arquivos PHP armazenados no diretório 'wp-content/mu-plugins/' que executam automaticamente quando a página é carregada, e não são listados na página regular de "Plugins" a menos que o filtro "Must-Use" esteja marcado.
Mu-plugins têm casos de uso legítimos, tais como forçar funcionalidades em todo o site para regras de segurança customizadas, ajustes de desempenho e modificando dinamicamente variáveis ou outro código.
No entanto, porque os MU-plugins rodam em cada carregamento de página e não aparecem na lista padrão de plugins, eles podem ser usados para realizar uma ampla gama de atividades maliciosas de forma furtiva, como roubo de credenciais, injeção de código malicioso ou alteração do output HTML.
A Sucuri descobriu três payloads que os atacantes estão implantando no diretório mu-plugins, que parecem fazer parte de operações motivadas financeiramente.
Eles são resumidos da seguinte forma:
- redirect.php: Redireciona visitantes (excluindo bots e admins logados) para um site malicioso (updatesnow[.]net) que exibe um prompt falso de atualização do navegador para enganá-los a baixar malware.
- index.php: Webshell que atua como um backdoor, buscando e executando código PHP de um repositório do GitHub.
- custom-js-loader.php: Carrega JavaScript que substitui todas as imagens do site por conteúdo explícito e sequestra todos os links externos, abrindo popups duvidosos ao invés disso.
O caso do webshell é particularmente perigoso, pois permite aos atacantes executar comandos remotamente no servidor, roubar dados e lançar ataques downstream em membros/visitantes.
Os outros dois payloads também podem ser prejudiciais, pois afetam a reputação do site e as pontuações de SEO devido a redirecionamentos duvidosos e tentativas de instalar malware nos computadores dos visitantes.
A Sucuri não determinou exatamente o caminho da infecção, mas hipotetiza que os atacantes exploram vulnerabilidades conhecidas em plugins e temas ou credenciais fracas de contas admin.
Recomenda-se que os administradores de sites WordPress apliquem atualizações de segurança em seus plugins e temas, desativem ou desinstalem aqueles que não são necessários, e protejam contas privilegiadas com credenciais fortes e autenticação multifatorial.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...