Hackers abusam de plugins MU do WordPress para esconder código malicioso
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem na interface de administração, permitindo redirecionamentos, instalação de malware e controle remoto dos sites.
Os hackers estão utilizando o diretório mu-plugins (“Must-Use Plugins”) do WordPress para executar furtivamente códigos maliciosos em todas as páginas, evitando a detecção.
A técnica foi observada pela primeira vez por pesquisadores de segurança da Sucuri em fevereiro de 2025, mas as taxas de adoção estão aumentando, com os agentes de ameaças agora utilizando a pasta para executar três tipos distintos de código malicioso.
“O fato de termos visto tantas infecções dentro de mu-plugins sugere que os invasores estão ativamente mirando esse diretório como um ponto de apoio persistente”, explica Puja Srivastava, analista de segurança da Sucuri .
Malware “indispensável”
Os plugins obrigatórios (mu-plugins) são um tipo especial de plugin do WordPress que são executados automaticamente a cada carregamento de página, sem precisar ser ativados no painel de administração.
Eles são arquivos PHP armazenados no wp-content/mu-plugins/diretório ‘ ‘ que são executados automaticamente quando a página é carregada e não são listados na página de administração regular “Plugins”, a menos que o filtro “Uso obrigatório” esteja marcado.
Os plugins Mu têm casos de uso legítimos, como impor funcionalidades em todo o site para regras de segurança personalizadas, ajustes de desempenho e modificação dinâmica de variáveis ou outros códigos.
No entanto, como os plugins MU são executados em cada carregamento de página e não aparecem na lista de plugins padrão, eles podem ser usados para executar furtivamente uma ampla gama de atividades maliciosas, como roubar credenciais, injetar código malicioso ou alterar saída HTML.
A Sucuri descobriu três cargas úteis que os invasores estão plantando no diretório mu-plugins, o que parece fazer parte de operações com motivação financeira.
Estes são resumidos da seguinte forma:
- redirect.php : redireciona visitantes (excluindo bots e administradores conectados) para um site malicioso (updatesnow[.]net) que exibe um prompt de atualização do navegador falso para induzi-los a baixar malware.
- index.php : Webshell que atua como um backdoor, buscando e executando código PHP de um repositório GitHub.
- custom-js-loader.php : Carrega JavaScript que substitui todas as imagens no site por conteúdo explícito e sequestra todos os links de saída, abrindo pop-ups obscuros.
Fonte: Sucuri
O caso do webshell é particularmente perigoso, pois permite que invasores executem comandos remotamente no servidor, roubem dados e iniciem ataques downstream em membros/visitantes.
Os outros dois payloads também podem ser prejudiciais, pois prejudicam a reputação e as pontuações de SEO de um site devido a redirecionamentos obscuros e tentativas de instalar malware nos computadores dos visitantes.
A Sucuri não determinou o caminho exato da infecção, mas levanta a hipótese de que os invasores exploram vulnerabilidades conhecidas em plugins e temas ou credenciais fracas de contas de administrador.
É recomendável que os administradores de sites WordPress apliquem atualizações de segurança em seus plugins e temas, desabilitem ou desinstalem aqueles que não são necessários e protejam contas privilegiadas com credenciais fortes e autenticação multifator.
