Malware explora diretório de plugins do WordPress para comprometer servidores

Uma nova campanha de malware está a explorar vulnerabilidades em sites WordPress, recorrendo ao diretório mu-plugins, que carrega automaticamente determinados plugins, para instalar backdoors e garantir persistência no sistema. A descoberta foi feita por investigadores da empresa de segurança Sucuri, que identificaram a utilização de ficheiros PHP ofuscados e payloads cifrados para comprometer servidores.

O ataque inicia-se com a implementação de um ficheiro chamado index.php no diretório /wp-content/mu-plugins/, contendo código malicioso que recupera cargas úteis adicionais do diretório uploads. A fase seguinte envolve a instalação de um segundo backdoor (test-muplugin.php) que utiliza criptografia AES-128-CBC para evitar deteção e garantir a execução remota de comandos maliciosos.

Além do controlo sobre o servidor, os atacantes conseguem mascarar comunicações com infraestrutura maliciosa, verificar a presença de ferramentas de segurança e manipular ficheiros como o robots.txt para reforçar a sua persistência. O malware também se propaga lateralmente entre servidores comprometidos, sendo capaz de lançar ataques como ransomware, exfiltração de dados ou a implementação de criptomineradores.

Para mitigar o impacto desta ameaça, a Sucuri recomenda a implementação de firewalls de aplicações Web com monitorização do diretório mu-plugins, a redefinição de credenciais de administrador, FTP e bases de dados, bem como a desativação de diretórios não utilizados e a realização de verificações de integridade de ficheiros.

A descoberta reforça a importância de manter todos os componentes do WordPress atualizados, uma vez que 68% das infeções resultam de versões desatualizadas de software.