Gli attori malevoli stanno sfruttando la directory "mu-plugins" nei siti WordPress per nascondere codice maligno, con l'obiettivo di mantenere un accesso remoto persistente e reindirizzare i visitatori del sito verso siti fraudolenti. I mu-plugins, abbreviazione di "must-use plugins", si riferiscono a plugin in una directory speciale ("wp-content/mu-plugins") che vengono eseguiti automaticamente da WordPress senza la necessità di attivarli esplicitamente tramite il pannello di amministrazione.
Questo approccio rappresenta una tendenza preoccupante, poiché i mu-plugins non sono elencati nell'interfaccia standard dei plugin di WordPress, rendendoli meno visibili e più facili da ignorare per gli utenti durante i controlli di sicurezza di routine. Nei casi analizzati, sono stati scoperti tre tipi diversi di codice PHP dannoso nella directory:
- "wp-content/mu-plugins/redirect.php", che reindirizza i visitatori del sito a un sito web esterno malevolo;
- "wp-content/mu-plugins/index.php", che offre funzionalità simili a una web shell, permettendo agli aggressori di eseguire codice arbitrario scaricando uno script PHP remoto ospitato su GitHub;
- "wp-content/mu-plugins/custom-js-loader.php", che inietta spam indesiderato sul sito infetto, probabilmente con l'intento di promuovere truffe o manipolare le classifiche SEO, sostituendo tutte le immagini del sito con contenuti espliciti e dirottando i collegamenti in uscita verso siti malevoli.
Il file "redirect.php" si maschera come un aggiornamento di un browser web per ingannare le vittime e indurle a installare malware in grado di rubare dati o scaricare ulteriori payload. Inoltre, gli hacker stanno continuando a utilizzare siti WordPress infetti come basi per ingannare i visitatori dei siti web a eseguire comandi PowerShell malevoli sui loro computer Windows sotto le sembianze di una verifica CAPTCHA di Google o Cloudflare, una tattica prevalente chiamata ClickFix.
Al momento non è noto come i siti possano essere stati compromessi, ma i soliti sospetti sono plugin o temi vulnerabili, credenziali amministrative compromesse e configurazioni errate del server. Per mitigare i rischi posti da queste minacce, è essenziale che i proprietari di siti WordPress mantengano i plugin e i temi aggiornati, eseguano regolarmente controlli del codice per la presenza di malware, impongano password robuste e implementino un firewall per applicazioni web per bloccare le richieste dannose e prevenire le iniezioni di codice.