Недавние исследования компании Sucuri выявили настораживающую тенденцию в области кибербезопасности, когда злоумышленники прибегают к использованию каталога mu-plugins в системе WordPress для внедрения различных форм вредоносного программного обеспечения. Это представляет серьезную угрозу для владельцев сайтов, так как означает, что вредоносные коды могут быть активированы без традиционной активации плагинов, что значительно усложняет их обнаружение.
Вредоносные программы в mu-plugins
Исследования выявили три основных типа вредоносного ПО в каталоге mu-plugins:
- Вредоносное ПО с поддельным обновлением: Эта программа перенаправляет пользователей на вредоносные сайты, маскируя свой код под легитимные системные обновления. Она находится в файле wp-content/mu-plugins/redirect.php.
- Веб-оболочка: Скрипт в файле ./wp-content/mu-plugins/index.php предоставляет злоумышленникам полный контроль над скомпрометированными сайтами, позволяет выполнять команды, загружать дополнительные вредоносные файлы и красть данные.
- Скрипт для рассылки спама: Обнаруженный в файле wp-content/mu-plugins/custom-js-loader.php, этот скрипт изменяет содержимое сайта, рассылая спам и разворачивая откровенные материалы, что подрывает репутацию веб-ресурса.
Цели злоумышленников
Общая цель этих атак заключается в:
- Финансовой эксплуатации за счет манипуляций с контентом и искажения рейтингов в поисковых системах;
- Сохранении постоянного доступа к скомпрометированным системам;
- Нанесении ущерба репутации сайтов через перенаправления на вредоносный контент.
Методы проникновения и угрозы
Потенциальные точки проникновения вредоносного ПО включают:
- Уязвимости в устаревших плагинах или темах;
- Скомпрометированные учетные данные администратора;
- Небезопасные условия хостинга из-за слабых конфигураций.
Атаки на каталог mu-plugins демонстрируют четкую стратегию злоумышленников по внедрению вредоносного ПО в установку WordPress для его скрытого использования и долговечности.
Рекомендации по повышению безопасности
Для минимизации рисков администраторам сайтов рекомендовано:
- Регулярно проверять установки WordPress на наличие вредоносных файлов, особенно в каталоге mu-plugins;
- Проверять и удалять несанкционированные учетные записи и подозрительные плагины;
- Обновлять WordPress и все связанные компоненты;
- Внедрять политику использования надежных паролей и двухфакторную аутентификацию;
- Мониторить целостность файлов с помощью специализированных плагинов безопасности для оперативного реагирования на несанкционированные изменения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Киберугроза: вредоносное ПО в каталоге mu-plugins WordPress".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.