Peretas menggunakan direktori WordPress MU-plugins (“Plugin yang harus digunakan”) untuk menjalankan kode berbahaya secara diam-diam di setiap halaman sambil menghindari deteksi.
Tekniknya pertama kali diamati Oleh peneliti keamanan di Sucuri pada Februari 2025, tetapi tingkat adopsi sedang meningkat, dengan para aktor ancaman sekarang menggunakan folder untuk menjalankan tiga jenis kode jahat yang berbeda.
“Fakta bahwa kita telah melihat begitu banyak infeksi di dalam mu-plugin menunjukkan bahwa penyerang secara aktif menargetkan direktori ini sebagai pijakan yang persisten,” menjelaskan analis keamanan Sucuri Puja Srivastava.
Malware “harus dimiliki”
Plugin yang harus digunakan (MU-plugin) adalah jenis khusus plugin WordPress yang secara otomatis dijalankan pada setiap beban halaman tanpa perlu diaktifkan di dasbor admin.
Mereka adalah file php yang disimpan di ‘wp-content/mu-plugins/‘Direktori yang secara otomatis dijalankan ketika halaman dimuat, dan mereka tidak terdaftar di halaman admin “plugin” reguler kecuali filter “yang harus digunakan” diperiksa.
MU-plugin memiliki kasus penggunaan yang sah seperti menegakkan fungsionalitas di seluruh situs untuk aturan keamanan khusus, penyesuaian kinerja, dan variabel memodifikasi secara dinamis atau kode lainnya.
Namun, karena mu-plugin berjalan pada setiap beban halaman dan tidak muncul dalam daftar plugin standar, mereka dapat digunakan untuk secara diam-diam melakukan berbagai aktivitas jahat, seperti mencuri kredensial, menyuntikkan kode berbahaya, atau mengubah output HTML.
Sucuri telah menemukan tiga muatan yang ditanam oleh penyerang di direktori MU-PLUGIN, yang tampaknya menjadi bagian dari operasi yang termotivasi secara finansial.
Ini dirangkum sebagai berikut:
- Redirect.php: Mengalihkan pengunjung (tidak termasuk bot dan admin masuk) ke situs web jahat (UpdateSnow[.]net) Itu menampilkan prompt pembaruan browser palsu untuk menipu mereka agar mengunduh malware.
- index.php: Webshell yang bertindak sebagai backdoor, mengambil dan menjalankan kode PHP dari repositori GitHub.
- custom-js-loader.php: Memuat JavaScript yang menggantikan semua gambar di situs dengan konten eksplisit dan membajak semua tautan keluar, malah membuka popup teduh.
Sumber: Jus
Kasing Webshell sangat berbahaya karena memungkinkan para penyerang untuk melaksanakan perintah dari jarak jauh di server, mencuri data, dan meluncurkan serangan hilir terhadap anggota/pengunjung.
Dua muatan lainnya juga dapat merusak karena melukai reputasi situs dan skor SEO karena pengalihan teduh dan mencoba menginstal malware di komputer pengunjung.
Sucuri belum menentukan jalur infeksi yang tepat tetapi berhipotesis bahwa penyerang mengeksploitasi kerentanan yang diketahui pada plugin dan tema atau kredensial akun admin yang lemah.
Direkomendasikan agar admin situs WordPress menerapkan pembaruan keamanan pada plugin dan tema mereka, menonaktifkan atau menghapus instalasi yang tidak diperlukan, dan melindungi akun istimewa dengan kredensial yang kuat dan otentikasi multi-faktor.
