Хакеры скрывают вредоносный код в особой директории WordPress

Специалисты по безопасности из компании Sucuri зафиксировали новую схему атак , при которой злоумышленники используют особую директорию WordPress — «mu-plugins» — для сокрытия вредоносного кода. Эта папка предназначена для так называемых must-use плагинов, которые автоматически активируются без участия администратора и не отображаются в стандартном интерфейсе. Такое поведение делает её идеальной точкой для незаметного размещения вредоносных компонентов.

По данным исследователей, в рамках нескольких инцидентов в директории были найдены сразу три разновидности вредоносных PHP-файлов. Один из них, «redirect.php», осуществлял скрытое перенаправление пользователей на внешние ресурсы, замаскированные под обновление браузера. Вторая вредоносная программа, «index.php», предоставляла атакующим возможность удалённого выполнения произвольного кода через подгрузку скриптов с GitHub. Третий компонент, «custom-js-loader.php», внедрял нежеланный спам и заменял изображения на откровенные материалы, перенаправляя внешние ссылки на мошеннические сайты.

Особенность метода заключается в том, что вредоносный скрипт умеет определять, является ли текущий посетитель ботом поисковой системы. Если это так, перенаправление отключается, что позволяет избежать обнаружения вредоносного поведения во время индексирования. Это повышает устойчивость атаки к выявлению и делает её особенно опасной для обычных пользователей.

Эксперты отмечают, что такой подход становится частью более широкой кампании, в рамках которой скомпрометированные сайты на WordPress используются как площадки для дальнейших атак. В частности, отмечены случаи , когда посетителям предлагалось пройти фальшивую проверку reCAPTCHA или Cloudflare CAPTCHA, после чего в систему загружались вредоносные команды PowerShell с последующей установкой трояна Lumma Stealer.

Параллельно на скомпрометированных сайтах может размещаться вредоносный JavaScript, предназначенный для сбора платёжной информации, введённой пользователями на страницах оформления заказов. Также встречаются сценарии с простым перенаправлением трафика на сторонние мошеннические ресурсы.

Хотя точные методы компрометации сайтов остаются неизвестными, предполагается, что хакеры используют уязвимости в плагинах и темах, а также получают доступ через украденные учётные данные и неправильные настройки серверов.

Согласно недавнему отчёту Patchstack, только с начала года было зафиксировано четыре критические уязвимости в плагинах WordPress, активно эксплуатируемые злоумышленниками. Среди них — уязвимость в плагине WordPress Automatic Plugin ( CVE-2024-27956 ) с возможностью произвольного выполнения SQL-запросов, а также критические уязвимости в темах Bricks и плагинах GiveWP и Startklar Elementor Addons, позволяющие выполнять произвольный код и загружать вредоносные файлы без аутентификации.

Для минимизации рисков специалисты рекомендуют своевременно обновлять плагины и темы, регулярно проверять файлы сайта на наличие подозрительных изменений, использовать сложные пароли и внедрять межсетевые экраны приложений. Эти меры позволяют отсекать вредоносные запросы и блокировать попытки внедрения вредоносного кода.