Se ha observado que los actores de amenazas usan un complemento de WordPress legítimo pero desactualizado para sitios web de puerta trasera sigilosos como parte de una campaña en curso, reveló Sucuri en un informe publicado la semana pasada.
El complemento en cuestión es Eval PHP publicado por un desarrollador llamado flashpixx. Permite a los usuarios inyectar páginas de código PHP y publicaciones de sitios de WordPress, que luego se ejecutarán cada vez que se abran las publicaciones en un navegador web.
Si bien Eval PHP nunca ha recibido una actualización en 11 años, las estadísticas recopiladas por WordPress muestran que está instalado en más de 8000 sitios web, con descargas que se dispararon desde septiembre de 2022, de un promedio de uno o dos a 6988 el 30 de marzo de 2023.
Solo el 23 de abril de 2023, se descargó 2140 veces. El plugin ha registrado 23.110 descargas en los últimos siete días.
Sucuri, propiedad de GoDaddy, dijo que observó que se inyectaba código malicioso en las bases de datos de algunos sitios web infectados en la tabla wp_posts, que almacena las publicaciones, las páginas y la información del menú de navegación de un sitio web. Las solicitudes provienen de tres direcciones IP diferentes ubicadas en Rusia.
«Este código es muy simple: utiliza la función file_put_contents para crear un script PHP en el docroot del sitio web con la puerta trasera de ejecución remota de código especificada», dijo el investigador de seguridad Ben Martin.
“Aunque la inyección en cuestión inserta una puerta trasera tradicional en la estructura del archivo, la combinación de un complemento legítimo y un gotero de puerta trasera en una publicación de WordPress les permite volver a infectar fácilmente el sitio y permanecer oculto. Todo lo que el atacante tiene que hacer es visitar una de las publicaciones o páginas infectadas y la puerta trasera se inyectará en la estructura del archivo».
Sucuri dijo que había detectado más de 6.000 instancias de esta puerta trasera en sitios web comprometidos en los últimos 6 meses y describió el patrón de inyectar el malware directamente en la base de datos como un «desarrollo nuevo e interesante».
PRÓXIMO SEMINARIO WEB
Zero Trust + Deception: ¡Aprende a burlar a los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener movimientos laterales y mejorar su estrategia de confianza cero. ¡Únase a nuestro seminario web perspicaz!
¡Guarda mi lugar!
La cadena de ataques consiste en instalar el complemento Eval PHP en páginas comprometidas y abusar de él para configurar puertas traseras persistentes en varias publicaciones, a veces también guardadas como borradores.
“La forma en que funciona el complemento Eval PHP, guardar una página como borrador es suficiente para ejecutar el código PHP que contiene [evalphp] Códigos cortos», explicó Martin, y agregó que las páginas engañosas se crearon con un administrador del sitio real como autor, lo que sugiere que los atacantes pudieron iniciar sesión con éxito como un usuario privilegiado.
El desarrollo muestra una vez más cómo los actores maliciosos están experimentando con diferentes métodos para afianzarse en entornos comprometidos y evitar el escaneo del lado del servidor y el monitoreo de la integridad de los archivos.
Se recomienda a los propietarios del sitio que aseguren el panel de administración de WP y estén atentos a los inicios de sesión sospechosos para evitar que los actores de amenazas obtengan acceso de administrador e instalen el complemento.
¿Te pareció interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
