Los investigadores de ciberseguridad han arrojado luz sobre una nueva campa\u00f1a dirigida a sitios de WordPress que disfrazan el malware como un complemento de seguridad.<\/p>\n
El complemento, que se llama “WP-Antymalwary-Bot.php”, viene con una variedad de caracter\u00edsticas para mantener el acceso, esconderse desde el tablero de administraci\u00f3n y ejecutar el c\u00f3digo remoto.<\/p>\n
“Tambi\u00e9n se incluye la funcionalidad de ping-ping que puede informar a un servidor de comando y control (C&C), al igual que el c\u00f3digo que ayuda a difundir el malware en otros directorios e inyectar JavaScript malicioso responsable de servir anuncios”, Marco Wotschka de Wordfence dicho<\/a> en un informe.<\/p>\n Descubierto por primera vez durante un esfuerzo de limpieza del sitio a fines de enero de 2025, el malware se ha detectado en la naturaleza con nuevas variantes. Algunos de los otros nombres utilizados para el complemento se enumeran a continuaci\u00f3n –<\/p>\n Una vez instalado y activado, proporciona a los actores de amenaza acceso al administrador al tablero y utiliza la API REST para facilitar la ejecuci\u00f3n del c\u00f3digo remoto al inyectar el c\u00f3digo PHP malicioso en el archivo de encabezado del tema del sitio o borrar los cach\u00e9s de los complementos de cach\u00e9 populares.<\/p>\n Una nueva iteraci\u00f3n del malware incluye cambios notables en la forma en que se manejan las inyecciones de c\u00f3digo, obteniendo c\u00f3digo JavaScript alojado en otro dominio comprometido para servir anuncios o spam.<\/p>\n El complemento tambi\u00e9n se complementa con un archivo wp-cron.php malicioso, que recrea y reactiva el malware autom\u00e1ticamente en la pr\u00f3xima visita al sitio en caso de que se elimine del directorio de complementos.<\/p>\n Actualmente no est\u00e1 claro c\u00f3mo se violan los sitios para entregar el malware o qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a. Sin embargo, la presencia de comentarios y mensajes del idioma ruso probablemente indica que los actores de amenaza son de habla rusa.<\/p>\n La divulgaci\u00f3n viene como sucuri detallado<\/a> Una campa\u00f1a de skimmer web que utiliza un dominio de fuentes falsos llamado “FitalicFonts[.]Org “para mostrar un formulario de pago falso en las p\u00e1ginas de pago, robar informaci\u00f3n ingresada y exfiltrar los datos al servidor del atacante.<\/p>\n Otro “ataque avanzado de cardado de varias etapas” examinado por la compa\u00f1\u00eda de seguridad del sitio web implica dirigirse a los portales de comercio electr\u00f3nico de Magento con malware JavaScript dise\u00f1ado para cosechar una amplia gama de informaci\u00f3n confidencial.<\/p>\n “Este malware aprovech\u00f3 un archivo de imagen GIF falso, los datos del almacenamiento de sesiones del navegador local y se manipul\u00f3 con el tr\u00e1fico del sitio web utilizando un servidor de proxy inverso malicioso para facilitar el robo de datos de tarjetas de cr\u00e9dito, detalles de inicio de sesi\u00f3n, cookies y otros datos confidenciales del sitio web comprometido,” Investigador de seguridad Ben Martin Ben Martin. dicho<\/a>.<\/p>\n El archivo GIF, en realidad, es un script de PHP que act\u00faa como un proxy inverso capturando solicitudes entrantes y utiliz\u00e1ndola para recopilar la informaci\u00f3n necesaria cuando un visitante del sitio aterriza en la p\u00e1gina de pago.<\/p>\n Tambi\u00e9n se ha observado que los adversarios inyectan el c\u00f3digo de Google Adsense en al menos 17 sitios de WordPress en varios lugares con el objetivo de entregar anuncios no deseados y generar ingresos, ya sea por clic o por impresi\u00f3n.<\/p>\n “Est\u00e1n tratando de usar los recursos de su sitio para continuar sirviendo anuncios, y lo que es peor, podr\u00edan estar robando sus ingresos publicitarios si est\u00e1 utilizando Adsense usted mismo”, la investigadora de seguridad Puja Srivastava dicho<\/a>. “Al inyectar su propio c\u00f3digo de Google Adsense, se les paga en lugar de usted”.<\/p>\n Eso no es todo. Se ha encontrado que las verificaciones enga\u00f1osas de CaptCha que se sirven en sitios web comprometidos enga\u00f1an a los usuarios para que descarguen y ejecutan node.js Back-Soors que recopilan informaci\u00f3n del sistema, otorguen acceso remoto e implementan un troyano de acceso remoto de nodo.js (RAT), que est\u00e1 dise\u00f1ado para t\u00fanel el tr\u00e1fico malicioso a trav\u00e9s de los proyectos 5.<\/p>\n La actividad ha sido atribuida por TrustWave SpiderLabs a un sistema de distribuci\u00f3n de tr\u00e1fico (TDS) llamado Kongtuke (tambi\u00e9n conocido como 404 TDS, Chaya_002, Landupdate808 y TAG-124).<\/p>\n “El script JS que, se lanz\u00f3 en despu\u00e9s de la infecci\u00f3n, est\u00e1 dise\u00f1ado como una puerta trasera multifuncional capaz de un reconocimiento detallado del sistema, ejecutando comandos remotos, el tr\u00e1fico de redes de t\u00faneles (proxy de calcetines5) y mantenimiento de acceso encubierto y persistente”, el investigador de seguridad reegue jayapaule jayapaul dicho<\/a>.<\/p>\n\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/El-complemento-de-seguridad-falso-en-WordPress-permite-el-acceso.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n