Después de la instalación el plugin se replica en el directorio mu-plugins
Los cazadores de amenazas han descubierto un plugin fraudulento de WordPress que es capaz de crear falsos usuarios administradores e inyectar código JavaScript malicioso para robar información de tarjetas de crédito.
La actividad de lectura es parte de una campaña de Magecart dirigida a sitios web de comercio electrónico, según Sucuri.
"Como ocurre con muchos otros plugins maliciosos o falsos de WordPress, contiene información engañosa en la parte superior del archivo para darle una apariencia de legitimidad", dijo el investigador de seguridad Ben Martin. "En este caso, los comentarios afirman que el código es 'Addons de caché de WordPress'".
Los plugins maliciosos generalmente llegan a los sitios de WordPress a través de un usuario administrador comprometido o de la explotación de fallas de seguridad en otro plugin ya instalado en el sitio.
Después de la instalación, el plugin se replica en el directorio mu-plugins (o plugins de uso obligatorio) para que se habilite automáticamente y oculte su presencia en el panel de administración.
"Dado que la única forma de eliminar cualquiera de los plugins mu es eliminando manualmente el archivo, el malware hace todo lo posible para evitarlo", explicó Martin. "El malware logra esto anulando el registro de funciones de devolución de llamadas para hooks que normalmente usan complementos como este".
El plugin fraudulento también viene con una opción para crear y ocultar una cuenta de usuario administrador del administrador legítimo del sitio web para evitar generar señales de alerta y tener acceso sostenido al objetivo durante prolongados períodos.
El objetivo final de la campaña es inyectar malware para robar tarjetas de crédito en las páginas de pago y exfiltrar la información a un dominio controlado por el actor.
"Dado que muchas infecciones de WordPress ocurren por usuarios administradores de wp-admin comprometidos, es lógico que hayan necesitado trabajar dentro de las limitaciones de los niveles de acceso que tienen, e instalar plugins es sin duda una de las capacidades clave que poseen los administradores de WordPress", afirmó Martin.
