31 mars 2025Ravie LakshmananVol de données / sécurité du site Web

Les acteurs de la menace utilisent le répertoire “mu-plagins” sur les sites WordPress pour cacher le code malveillant dans le but de maintenir un accès à distance persistant et de rediriger les visiteurs du site vers des sites faux.

Mu-Plugins, abrégé pour les plugins incontournables, fait référence aux plugins dans un répertoire spécial (“WP-CONTANT / MU-PLUGINS”) qui sont automatiquement exécutés par WordPress sans avoir besoin de les activer explicitement via le tableau de bord d’administration. Cela fait également du répertoire un emplacement idéal pour mettre en scène des logiciels malveillants.

“Cette approche représente une tendance préoccupante, car les Mu-Plugins (plugins à utiliser) ne sont pas répertoriés dans l’interface de plugin WordPress standard, ce qui les rend moins visibles et plus faciles à ignorer pour les utilisateurs lors des vérifications de sécurité de routine”, a déclaré Puja Srivastava, chercheur de Succuri, chercheur Succuri Puja Srivastava dit dans une analyse.

Cybersécurité

Dans les incidents analysés par la société de sécurité du site Web, trois types différents de code PHP Rogue ont été découverts dans le répertoire –

  • “WP-Content / Mu-Plugins / Redirect.php”, qui redirige les visiteurs du site vers un site Web malveillant externe
  • “WP-Content / Mu-Plugins / index.php”, qui propose des fonctionnalités de type shell, permettant aux attaquants exécuter du code arbitraire en téléchargeant un script PHP distant hébergé sur github
  • “WP-Content / Mu-Plugins / Custom-js-loader.php”, qui injecte un spam indésirable sur le site Web infecté, probablement dans l’intention de promouvoir des escroqueries ou de manipuler les classements SEO, en remplaçant toutes les images sur le site par un contenu explicite et un détournement de liens sortants à des sites malveillants

Le “redirect.php”, a déclaré SUCURI, se fait passer pour une mise à jour du navigateur Web pour tromper les victimes en installation de logiciels malveillants qui peuvent voler des données ou supprimer des charges utiles supplémentaires.

“Le script comprend une fonction qui identifie si le visiteur actuel est un bot”, a expliqué Srivastava. “Cela permet au script d’exclure des robots de recherche de moteurs de recherche et de les empêcher de détecter le comportement de redirection.”

Le développement intervient alors que les acteurs de la menace sont continu pour utiliser Sites WordPress infectés En tant que mise en scène pour inciter les visiteurs au site Web à l’exécution de commandes PowerShell malveillant sur leurs ordinateurs Windows sous le couvert d’une vérification Google Recaptcha ou CloudFlare CAPTCHA – A tactique courante Appelé ClickFix – et livrer le malware Lummma Stealer.

Les pirates exploitent WordPress

Des sites WordPress piratés sont également utilisés pour déployer un javascript malveillant qui peut rediriger les visiteurs aux domaines tiers indésirables ou agir comme un écumoire pour siphon des informations financières saisies sur les pages de paiement.

On ne sait actuellement pas comment les sites peuvent avoir été violés, mais les suspects habituels sont des plugins ou des thèmes vulnérables, des informations d’identification d’administration compromises et des erreurs de serveur.

Cybersécurité

Selon un nouveau rapport de Patchstack, les acteurs de la menace ont exploité systématiquement Quatre vulnérabilités de sécurité différentes depuis le début de l’année –

  • CVE-2024-27956 (score CVSS: 9.9) – Une vulnérabilité arbitraire de l’exécution SQL non authentifiée dans le plugin automatique WordPress – Générateur de contenu AI et Plugin Affiche Auto
  • CVE- 2024-25600 (CVSS Score: 10.0) – Une vulnérabilité d’exécution du code distant non authentifié dans le thème des briques
  • CVE-2024-8353 (score CVSS: 10.0) – Une injection d’objets PHP non authentifiée à la vulnérabilité d’exécution du code distant dans le plugin biday
  • CVE-2024-4345 (score CVSS: 10.0) – Une vulnérabilité de téléchargement de fichiers arbitraires non authentifiés dans les addons de startklar élémentor pour WordPress

Pour atténuer les risques posés par ces menaces, il est essentiel que les propriétaires de sites WordPress gardent des plugins et des thèmes à jour, audactez systématiquement le code pour la présence de logiciels malveillants, appliquez des mots de passe solides et déployez un pare-feu d’application Web aux demandes malveillantes et prévenir les injections de code.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57