Cibercriminosos exploram diretório oculto do WordPress para implementar malware

Segundo um alerta da Sucuri, cibercriminosos estão a utilizar o diretório mu-plugins do WordPress para esconder malware e evitar deteções. Este diretório, reservado a plugins de uso obrigatório, carrega automaticamente ficheiros sem necessidade de ativação e não aparece na interface de administração, tornando-se um alvo atrativo para ataques furtivos.

A empresa de segurança já havia identificado, em fevereiro, ficheiros suspeitos neste diretório que permitiam a instalação de backdoors. Agora, novos malwares foram encontrados, capazes de redirecionar visitantes para páginas maliciosas, criar um Shell remoto para execução de comandos e injetar spam nos sites comprometidos. Os ficheiros responsáveis por estas ações, como como redirect.php e custom-js-loader.php, imitam funções legítimas do WordPress, dificultando a sua deteção.

Além de se adaptar ao tipo de visitante, o código malicioso engana utilizadores administrativos e bots de análise com atualizações falsas para executar código nocivo. Ao mesmo tempo, os atacantes incorporam scripts que carregam malware remotamente, o que permite a injeção dinâmica de novas ameaças nos sites comprometidos. A presença de Shell da web fornece aos atacantes controlo total sobre os servidores afetados.

Os especialistas da Sucuri alertam que sinais como consumo anormal de recursos, alterações inesperadas em ficheiros e código não autorizado podem indicar uma infeção. Os ataques podem ter origem em vulnerabilidades de plugin e temas, credenciais comprometidas ou permissões inadequadas. Para mitigar riscos, os administradores são aconselhados a reforçar medidas de segurança e monitorizar atentamente alterações suspeitas.