Útočníci využívají adresář „mu-plugins“ na webech WordPress k ukrytí škodlivého kódu s cílem udržet trvalý vzdálený přístup a přesměrovávat návštěvníky webu na podvodné stránky.

Mu-plugins, zkratka pro „must-use plugins“, označuje pluginy ve speciálním adresáři („wp-content/mu-plugins“), které jsou automaticky spouštěny WordPressem, aniž by bylo nutné je explicitně povolit prostřednictvím administrátorského rozhraní. Tento adresář se tak stává ideálním místem pro nasazení malwaru.

„Tento přístup představuje znepokojivý trend, protože mu-plugins (Must-Use plugins) nejsou uvedeny ve standardním rozhraní pluginů WordPress, což je činí méně nápadnými a snadno přehlédnutelnými během rutinních bezpečnostních kontrol,“ uvedla společnost Sucuri Puja Srivastava v analýze.

V případech analyzovaných touto společností zabývající se bezpečností webů byly v adresáři objeveny tři různé druhy škodlivého PHP kódu:

– „wp-content/mu-plugins/redirect.php“, který přesměrovává návštěvníky webu na externí škodlivou stránku,

– „wp-content/mu-plugins/index.php“, který poskytuje funkčnost podobnou webové shellu, umožňující útočníkům spouštět libovolný kód stažením vzdáleného PHP skriptu hostovaného na GitHubu,

– „wp-content/mu-plugins/custom-js-loader.php“, který vkládá nechtěný spam na infikovaný web, pravděpodobně s cílem propagovat podvody nebo manipulovat s SEO hodnocením, a to nahrazením všech obrázků na webu explicitním obsahem a únosem odchozích odkazů na škodlivé stránky.

„Redirect.php,“ uvedla společnost Sucuri, se maskuje jako aktualizace webového prohlížeče, aby oklamal oběti a přiměl je nainstalovat malware, který může krást data nebo instalovat další škodlivé soubory.

„Skript obsahuje funkci, která identifikuje, zda je aktuální návštěvník bot,“ vysvětlila Srivastava. „To umožňuje skriptu vyloučit prohledávače vyhledávačů a zabránit jim v detekci přesměrovacího chování.“

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS