A Sucuri identificou uma nova técnica utilizada por hackers para esconder malware em sites WordPress, aproveitando o diretório mu-plugins. Esse diretório, que abriga os chamados Must-Use Plugins, carrega automaticamente os arquivos sem exigir ativação e não os exibe na interface padrão do WordPress, tornando-o um local atrativo para ataques furtivos. Os pesquisadores encontraram diversas variantes de malware nesse diretório, projetadas para redirecionar visitantes para páginas maliciosas, injetar shells web que fornecem controle remoto do site e manipular o conteúdo exibido.
Arquivos como redirect.php, index.php e custom-js-loader.php imitam funções legítimas do WordPress, dificultando a detecção e permitindo que os invasores mantenham um acesso persistente ao sistema. O redirect.php, por exemplo, exibe falsas atualizações de navegador ou sistema para enganar os visitantes e induzi-los a executar código malicioso. Já o index.php carrega scripts PHP remotos que podem injetar novos malwares dinamicamente, enquanto um shell web implantado permite que os hackers executem comandos e roubem dados do site. Além disso, o código JavaScript injetado pode modificar imagens, links e interações da página, redirecionando usuários para sites maliciosos ou exibindo pop-ups fraudulentos.
Essa campanha demonstra uma estratégia bem elaborada que combina monetização e persistência, garantindo que os invasores obtenham lucro enquanto permanecem ocultos no sistema. A Sucuri alerta que essas infecções podem ter ocorrido por meio de plugins ou temas vulneráveis, credenciais comprometidas ou configurações de segurança deficientes. Administradores de sites devem estar atentos a atividades suspeitas, revisar regularmente os diretórios de plugins e reforçar suas medidas de segurança, como restringir permissões de arquivos e manter suas plataformas sempre atualizadas.
