Los investigadores de ciberseguridad han arrojado luz sobre una nueva campaña dirigida a sitios de WordPress que disfrazan el malware como un complemento de seguridad.
El complemento, que se llama «WP-Antymalwary-Bot.php», viene con una variedad de características para mantener el acceso, esconderse desde el tablero de administración y ejecutar el código remoto.
«También se incluye la funcionalidad de ping-ping que puede informar a un servidor de comando y control (C&C), al igual que el código que ayuda a difundir malware a otros directorios e inyectar JavaScript malicioso responsable de servir anuncios», dijo Marco Wotschka de Wordfence en un informe.
Descubierto por primera vez durante un esfuerzo de limpieza del sitio a fines de enero de 2025, el malware se ha detectado en la naturaleza con nuevas variantes. Algunos de los otros nombres utilizados para el complemento se enumeran a continuación –
- addons.php
- wpconsole.php
- WP-Performance-Booster.php
- scr.php
Una vez instalado y activado, proporciona a los actores de amenaza acceso al administrador al tablero y utiliza la API REST para facilitar la ejecución del código remoto al inyectar el código PHP malicioso en el archivo de encabezado del tema del sitio o borrar los cachés de los complementos de caché populares.
Una nueva iteración del malware incluye cambios notables en la forma en que se manejan las inyecciones de código, obteniendo código JavaScript alojado en otro dominio comprometido para servir anuncios o spam.
El complemento también se complementa con un archivo wp-cron.php malicioso, que recrea y reactiva el malware automáticamente en la próxima visita al sitio en caso de que se elimine del directorio de complementos.
Actualmente no está claro cómo se violan los sitios para entregar el malware o quién está detrás de la campaña. Sin embargo, la presencia de comentarios y mensajes del idioma ruso probablemente indica que los actores de amenaza son de habla rusa.
La divulgación se produce cuando Sucuri detalló una campaña de skimmer web que utiliza un dominio de fuentes falsos llamado «EnsalicFonts (.) Org» para mostrar un formulario de pago falso en las páginas de pago, robar información ingresada y exfiltrar los datos al servidor del atacante.
Otro «ataque avanzado de cardado de varias etapas» examinado por la compañía de seguridad del sitio web implica dirigirse a los portales de comercio electrónico de Magento con malware JavaScript diseñado para cosechar una amplia gama de información confidencial.
«Este malware aprovechó un archivo de imagen GIF falso, los datos del almacenamiento de sesiones del navegador local y se manipuló con el tráfico del sitio web utilizando un servidor proxy inverso malicioso para facilitar el robo de datos de tarjetas de crédito, detalles de inicio de sesión, cookies y otros datos confidenciales del sitio web comprometido», dijo el investigador de seguridad Ben Martin.
El archivo GIF, en realidad, es un script de PHP que actúa como un proxy inverso capturando solicitudes entrantes y utilizándola para recopilar la información necesaria cuando un visitante del sitio aterriza en la página de pago.
También se ha observado que los adversarios inyectan el código de Google Adsense en al menos 17 sitios de WordPress en varios lugares con el objetivo de entregar anuncios no deseados y generar ingresos, ya sea por clic o por impresión.
«Están tratando de usar los recursos de su sitio para continuar sirviendo anuncios, y lo que es peor, podrían estar robando sus ingresos publicitarios si está utilizando Adsense usted mismo», dijo la investigadora de seguridad Puja Srivastava. «Al inyectar su propio código de Google Adsense, se les paga en lugar de usted».
Eso no es todo. Se ha encontrado que las verificaciones engañosas de CaptCha que se sirven en sitios web comprometidos engañan a los usuarios para que descarguen y ejecutan node.js Back-Soors que recopilan información del sistema, otorguen acceso remoto e implementan un troyano de acceso remoto de nodo.js (RAT), que está diseñado para túnel el tráfico malicioso a través de los proyectos 5.
La actividad ha sido atribuida por TrustWave SpiderLabs a un sistema de distribución de tráfico (TDS) llamado Kongtuke (también conocido como 404 TDS, Chaya_002, Landupdate808 y TAG-124).
«El script JS que, se lanzó en después de la infección, está diseñado como una puerta trasera multifuncional capaz de un reconocimiento detallado del sistema, ejecutando comandos remotos, el tráfico de la red de túneles (proxy de calcetines5) y manteniendo acceso encubierto y persistente», dijo el investigador de seguridad Reegun Jayapaul.
