Los piratas informáticos ocultan código malicioso en un directorio especial de WordPress

Los especialistas en seguridad de la empresa Sucuri detectaron un nuevo esquema de ataques, en el que los atacantes utilizan un directorio especial de WordPress — «mu-plugins» — para ocultar código malicioso. Esta carpeta está destinada a los llamados plugins must-use, que se activan automáticamente sin la intervención del administrador y no se muestran en la interfaz estándar. Este comportamiento la convierte en un punto ideal para colocar componentes maliciosos de forma imperceptible.

Según los investigadores, en varios incidentes se encontraron tres tipos de archivos PHP maliciosos dentro del directorio. Uno de ellos, «redirect.php», realizaba redireccionamientos ocultos de los usuarios hacia recursos externos disfrazados como actualizaciones del navegador. El segundo malware, «index.php», proporcionaba a los atacantes la posibilidad de ejecutar código arbitrario de forma remota mediante la carga de scripts desde GitHub. El tercer componente, «custom-js-loader.php», inyectaba spam no deseado y reemplazaba imágenes con contenido explícito, redireccionando enlaces externos a sitios fraudulentos.

La particularidad de este método radica en que el script malicioso puede detectar si el visitante actual es un bot de motor de búsqueda. Si es así, se desactiva el redireccionamiento, lo que permite evitar la detección del comportamiento malicioso durante la indexación. Esto aumenta la resistencia del ataque a ser detectado y lo hace especialmente peligroso para los usuarios comunes.

Los expertos señalan que este enfoque forma parte de una campaña más amplia en la que los sitios comprometidos de WordPress se utilizan como plataformas para ataques posteriores. En particular, se han reportado casos donde se ofrecía a los visitantes pasar una falsa verificación de reCAPTCHA o Cloudflare CAPTCHA, tras lo cual se cargaban comandos maliciosos de PowerShell en el sistema, seguidos de la instalación del troyano Lumma Stealer.

Paralelamente, en los sitios comprometidos puede estar presente un JavaScript malicioso destinado a recopilar información de pago introducida por los usuarios en las páginas de finalización de pedidos. También se observan escenarios con simples redireccionamientos del tráfico hacia recursos fraudulentos externos.

Aunque los métodos exactos de compromiso de los sitios siguen sin conocerse, se supone que los hackers explotan vulnerabilidades en plugins y temas, así como obtienen acceso mediante credenciales robadas y configuraciones incorrectas de los servidores.

Según un informe reciente de Patchstack, solo desde el comienzo del año se han detectado cuatro vulnerabilidades críticas en plugins de WordPress que están siendo activamente explotadas por atacantes. Entre ellas se encuentra una vulnerabilidad en el plugin WordPress Automatic Plugin (CVE-2024-27956) con posibilidad de ejecución arbitraria de consultas SQL, así como vulnerabilidades críticas en los temas Bricks y en los plugins GiveWP y Startklar Elementor Addons, que permiten la ejecución de código arbitrario y la carga de archivos maliciosos sin autenticación.

Para minimizar los riesgos, los especialistas recomiendan actualizar a tiempo los plugins y temas, revisar regularmente los archivos del sitio en busca de cambios sospechosos, utilizar contraseñas complejas e implementar cortafuegos de aplicaciones web. Estas medidas permiten filtrar solicitudes maliciosas y bloquear intentos de inserción de código dañino.