Gli attori malevoli stanno sfruttando la directory "mu-plugins" nei siti WordPress per nascondere codice maligno, con l'obiettivo di mantenere un accesso remoto persistente e reindirizzare i visitatori del sito verso siti fraudolenti. I mu-plugins, abbreviazione di "must-use plugins", si riferiscono a plugin in una directory speciale ("wp-content/mu-plugins") che vengono eseguiti automaticamente da WordPress senza la necessità di attivarli esplicitamente tramite il pannello di amministrazione. Questo rende la directory un luogo ideale per mettere in scena malware.

Questo approccio rappresenta una tendenza preoccupante, poiché i mu-plugins non sono elencati nell'interfaccia standard dei plugin di WordPress, rendendoli meno visibili e più facili da ignorare per gli utenti durante i controlli di sicurezza di routine. Nei casi analizzati, sono stati scoperti tre tipi diversi di codice PHP dannoso nella directory:

• "wp-content/mu-plugins/redirect.php", che reindirizza i visitatori del sito a un sito web esterno malevolo;
• "wp-content/mu-plugins/index.php", che offre funzionalità simili a una web shell, permettendo agli aggressori di eseguire codice arbitrario scaricando uno script PHP remoto ospitato su GitHub;
• "wp-content/mu-plugins/custom-js-loader.php", che inietta spam indesiderato sul sito infetto, probabilmente con l'intento di promuovere truffe o manipolare le classifiche SEO, sostituendo tutte le immagini del sito con contenuti espliciti e dirottando i collegamenti in uscita verso siti malevoli.

Il file "redirect.php" si maschera come un aggiornamento di un browser web per ingannare le vittime e indurle a installare malware in grado di rubare dati o scaricare ulteriori payload. Inoltre, gli hacker stanno continuando a utilizzare siti WordPress infetti come basi per ingannare i visitatori dei siti web a eseguire comandi PowerShell malevoli sui loro computer Windows sotto le sembianze di una verifica CAPTCHA di Google o Cloudflare, una tattica prevalente chiamata ClickFix.

Al momento non è noto come i siti possano essere stati compromessi, ma i soliti sospetti sono plugin o temi vulnerabili, credenziali amministrative compromesse e configurazioni errate del server. Per mitigare i rischi posti da queste minacce, è essenziale che i proprietari di siti WordPress mantengano i plugin e i temi aggiornati, eseguano regolarmente controlli del codice per la presenza di malware, impongano password robuste e implementino un firewall per applicazioni web per bloccare le richieste dannose e prevenire le iniezioni di codice.