Злоумышленники обходят системы защиты через секретный механизм CMS.
Специалисты по безопасности из компании Sucuri зафиксировали новую схему атак, при которой злоумышленники используют особую директорию WordPress — «mu-plugins» — для сокрытия вредоносного кода. Эта папка предназначена для так называемых must-use плагинов, которые автоматически активируются без участия администратора и не отображаются в стандартном интерфейсе. Такое поведение делает её идеальной точкой для незаметного размещения вредоносных компонентов.
По данным исследователей, в рамках нескольких инцидентов в директории были найдены сразу три разновидности вредоносных PHP-файлов. Один из них, «redirect.php», осуществлял скрытое перенаправление пользователей на внешние ресурсы, замаскированные под обновление браузера. Вторая вредоносная программа, «index.php», предоставляла атакующим возможность удалённого выполнения произвольного кода через подгрузку скриптов с GitHub. Третий компонент, «custom-js-loader.php», внедрял нежеланный спам и заменял изображения на откровенные материалы, перенаправляя внешние ссылки на мошеннические сайты.
Особенность метода заключается в том, что вредоносный скрипт умеет определять, является ли текущий посетитель ботом поисковой системы. Если это так, перенаправление отключается, что позволяет избежать обнаружения вредоносного поведения во время индексирования. Это повышает устойчивость атаки к выявлению и делает её особенно опасной для обычных пользователей.
Эксперты отмечают, что такой подход становится частью более широкой кампании, в рамках которой скомпрометированные сайты на WordPress используются как площадки для дальнейших атак. В частности, отмечены случаи, когда посетителям предлагалось пройти фальшивую проверку reCAPTCHA или Cloudflare CAPTCHA, после чего в систему загружались вредоносные команды PowerShell с последующей установкой трояна Lumma Stealer.
Параллельно на скомпрометированных сайтах может размещаться вредоносный JavaScript, предназначенный для сбора платёжной информации, введённой пользователями на страницах оформления заказов. Также встречаются сценарии с простым перенаправлением трафика на сторонние мошеннические ресурсы.
Хотя точные методы компрометации сайтов остаются неизвестными, предполагается, что хакеры используют уязвимости в плагинах и темах, а также получают доступ через украденные учётные данные и неправильные настройки серверов.
Согласно недавнему отчёту Patchstack, только с начала года было зафиксировано четыре критические уязвимости в плагинах WordPress, активно эксплуатируемые злоумышленниками. Среди них — уязвимость в плагине WordPress Automatic Plugin (CVE-2024-27956) с возможностью произвольного выполнения SQL-запросов, а также критические уязвимости в темах Bricks и плагинах GiveWP и Startklar Elementor Addons, позволяющие выполнять произвольный код и загружать вредоносные файлы без аутентификации.
Для минимизации рисков специалисты рекомендуют своевременно обновлять плагины и темы, регулярно проверять файлы сайта на наличие подозрительных изменений, использовать сложные пароли и внедрять межсетевые экраны приложений. Эти меры позволяют отсекать вредоносные запросы и блокировать попытки внедрения вредоносного кода.
