Злоумышленники активно эксплуатируют скрытые возможности каталога mu-plugins в WordPress (wp-content/mu-plugins), используя его для внедрения вредоносного кода. Плагины, помеченные как "must use", запускаются автоматически и отсутствуют в стандартном списке плагинов, что значительно затрудняет их обнаружение.
Скрытость mu-plugins позволяет поддерживать постоянный удалённый доступ, внедрять спам, перенаправлять посетителей на вредоносные внешние сайты, подменять изображения и подготавливать площадки для развертывания дополнительного вредоносного ПО. По словам исследователя Sucuri, Puja Srivastava, «невидимость таких плагинов в стандартном интерфейсе облегчает их эксплуатацию злоумышленниками».
Файл wp-content/mu-plugins/redirect.php используется для перенаправления посетителей на внешние ресурсы, опасные для безопасности. Он имитирует обновление веб-браузера, что вводит пользователей в заблуждение и способствует установке зловредных программ, способных похищать данные или загружать дополнительные компоненты вредоносного ПО. Встроенная проверка на ботов помогает исключить активность поисковых систем и скрыть атаку.
Файл wp-content/mu-plugins/index.php предоставляет функционал веб-оболочки, позволяющий выполнять произвольный код на сервере. Он динамически загружает удалённый PHP-скрипт с GitHub, что повышает сложность обнаружения и анализа проводимых атак, позволяя злоумышленникам удерживать длительный несанкционированный доступ.
Файл wp-content/mu-plugins/custom-js-loader.php внедряет нежелательный спам-контент на заражённые сайты. Вероятно, его целью является продвижение мошеннических схем или манипуляция поисковыми рейтингами за счёт замены изображений откровенным контентом и перенаправления исходящих ссылок на опасные домены.
Инфицированные сайты используются для обмана пользователей с целью выполнения вредоносных команд PowerShell, ориентированных на компьютеры под управлением Windows. Эти команды маскируются под проверку Google reCAPTCHA или Cloudflare CAPTCHA в схеме «ClickFix», что позволяет доставлять вредоносное ПО Lumma Stealer и запускать вредоносный JavaScript, а также собирать финансовые данные, вводимые на страницах оформления заказа.
Механизм вторжения остаётся до конца неясным, однако возможными векторами являются уязвимости в плагинах и темах, компрометация административных учётных данных или ошибки конфигурации серверов. Комплексность данных атак позволяет злоумышленникам использовать различные точки входа для реализации своих целей.
Отчёт Patchstack за текущий год фиксирует эксплуатацию четырёх критических уязвимостей: CVE-2024-27956 позволяет неавторизованное выполнение произвольных SQL-запросов в плагине WordPress Automatic Plugin для генерации и автопубликации AI-контента (CVSS 9.9); CVE-2024-25600 предоставляет возможность удалённого выполнения кода в теме Bricks (CVSS 10.0); через уязвимость CVE-2024-8353 происходит PHP-инъекция с последующим выполнением произвольного кода в плагине GiveWP (CVSS 10.0); а CVE-2024-4345 позволяет несанкционированную загрузку файлов в дополнении Startklar Elementor Addons для WordPress (CVSS 10.0).
Регулярное обновление плагинов и тем, аудит исходного кода, использование надёжных паролей и настройка веб-фаервола являются ключевыми мерами, позволяющими защитить сайты WordPress от подобных атак.
Изображение носит иллюстративный характер
Скрытость mu-plugins позволяет поддерживать постоянный удалённый доступ, внедрять спам, перенаправлять посетителей на вредоносные внешние сайты, подменять изображения и подготавливать площадки для развертывания дополнительного вредоносного ПО. По словам исследователя Sucuri, Puja Srivastava, «невидимость таких плагинов в стандартном интерфейсе облегчает их эксплуатацию злоумышленниками».
Файл wp-content/mu-plugins/redirect.php используется для перенаправления посетителей на внешние ресурсы, опасные для безопасности. Он имитирует обновление веб-браузера, что вводит пользователей в заблуждение и способствует установке зловредных программ, способных похищать данные или загружать дополнительные компоненты вредоносного ПО. Встроенная проверка на ботов помогает исключить активность поисковых систем и скрыть атаку.
Файл wp-content/mu-plugins/index.php предоставляет функционал веб-оболочки, позволяющий выполнять произвольный код на сервере. Он динамически загружает удалённый PHP-скрипт с GitHub, что повышает сложность обнаружения и анализа проводимых атак, позволяя злоумышленникам удерживать длительный несанкционированный доступ.
Файл wp-content/mu-plugins/custom-js-loader.php внедряет нежелательный спам-контент на заражённые сайты. Вероятно, его целью является продвижение мошеннических схем или манипуляция поисковыми рейтингами за счёт замены изображений откровенным контентом и перенаправления исходящих ссылок на опасные домены.
Инфицированные сайты используются для обмана пользователей с целью выполнения вредоносных команд PowerShell, ориентированных на компьютеры под управлением Windows. Эти команды маскируются под проверку Google reCAPTCHA или Cloudflare CAPTCHA в схеме «ClickFix», что позволяет доставлять вредоносное ПО Lumma Stealer и запускать вредоносный JavaScript, а также собирать финансовые данные, вводимые на страницах оформления заказа.
Механизм вторжения остаётся до конца неясным, однако возможными векторами являются уязвимости в плагинах и темах, компрометация административных учётных данных или ошибки конфигурации серверов. Комплексность данных атак позволяет злоумышленникам использовать различные точки входа для реализации своих целей.
Отчёт Patchstack за текущий год фиксирует эксплуатацию четырёх критических уязвимостей: CVE-2024-27956 позволяет неавторизованное выполнение произвольных SQL-запросов в плагине WordPress Automatic Plugin для генерации и автопубликации AI-контента (CVSS 9.9); CVE-2024-25600 предоставляет возможность удалённого выполнения кода в теме Bricks (CVSS 10.0); через уязвимость CVE-2024-8353 происходит PHP-инъекция с последующим выполнением произвольного кода в плагине GiveWP (CVSS 10.0); а CVE-2024-4345 позволяет несанкционированную загрузку файлов в дополнении Startklar Elementor Addons для WordPress (CVSS 10.0).
Регулярное обновление плагинов и тем, аудит исходного кода, использование надёжных паролей и настройка веб-фаервола являются ключевыми мерами, позволяющими защитить сайты WordPress от подобных атак.