Hackers aproveitam MU-Plugins do WordPress para esconder malware

Foi detectado um novo ataque que tira partido dos "Must-Use Plugins" do WordPress para infectar sites com malware.

Hackers estão a abusar da pasta Must-Use Plugins (mu-plugins) do WordPress para injetar e executar código malicioso nos sites sem serem detetados. Investigadores de segurança da Sucuri identificaram esta técnica pela primeira vez em Fevereiro, mas a sua utilização tem vindo a crescer, com atacantes a recorrerem a três tipos distintos de malware escondidos nesta pasta.

Os mu-plugins são um tipo especial de plugin que é executado automaticamente em cada carregamento de página, sem necessidade de activação no painel de administração. Embora sejam normalmente usados para funcionalidades legítimas, os hackers estão a explorá-los para roubar credenciais, injectar código malicioso e alterar o conteúdo das páginas. A Sucuri identificou três cargas maliciosas específicas: um script de redirecionamento que engana utilizadores para descarregarem malware, uma backdoor que executa comandos remotos, e um carregador de JavaScript que substitui imagens por conteúdos explícitos e altera links.

Entre estas ameaças, a webshell é particularmente perigosa, pois permite aos atacantes executar comandos no servidor, roubar dados sensíveis e lançar ataques contra os visitantes do site. Os outros métodos também representam riscos elevados, prejudicando a reputação dos sites e induzindo os utilizadores a descarregar malware. No entanto, ainda não é claro como os hackers estão a infiltrar estes ficheiros, sendo provável que explorem vulnerabilidades em plugins, temas ou credenciais de administradores fracas.

Para se protegerem, os administradores de sites WordPress devem manter os plugins e temas sempre actualizados, remover aqueles que não são necessários e reforçar a segurança com autenticação multifactor e palavras-passe fortes, para evitarem que os atacantes explorem estas falhas.