Los investigadores de ciberseguridad han arrojado luz sobre una nueva campaña dirigida a sitios de WordPress que disfrazan el malware como un complemento de seguridad.
El complemento, que se lumbre “WP-Antymalwary-Bot.php”, viene con una variedad de características para suministrar el comunicación, esconderse desde el tablero de despacho y ejecutar el código remoto.
“Incluso se incluye la funcionalidad de ping-ping que puede informar a un servidor de comando y control (C&C), al igual que el código que ayuda a difundir malware a otros directorios e inyectar JavaScript ladino responsable de servir anuncios”, dijo Ámbito Wotschka de Wordfence en un documentación.
Descubierto por primera vez durante un esfuerzo de honradez del sitio a fines de enero de 2025, el malware se ha detectado en la naturaleza con nuevas variantes. Algunos de los otros nombres utilizados para el complemento se enumeran a continuación –
- addons.php
- wpconsole.php
- WP-Performance-Booster.php
- scr.php
Una vez instalado y activado, proporciona a los actores de amenaza comunicación al administrador al tablero y utiliza la API REST para simplificar la ejecución del código remoto al inyectar el código PHP ladino en el archivo de encabezado del tema del sitio o borrar los cachés de los complementos de distinción populares.
Una nueva iteración del malware incluye cambios notables en la forma en que se manejan las inyecciones de código, obteniendo código JavaScript alojado en otro dominio comprometido para servir anuncios o spam.
El complemento además se complementa con un archivo wp-cron.php ladino, que recrea y reactiva el malware automáticamente en la próxima entrevista al sitio en caso de que se elimine del directorio de complementos.
Actualmente no está claro cómo se violan los sitios para entregar el malware o quién está detrás de la campaña. Sin confiscación, la presencia de comentarios y mensajes del idioma ruso probablemente indica que los actores de amenaza son de deje rusa.
La divulgación se produce cuando Sucuri detalló una campaña de skimmer web que utiliza un dominio de fuentes falsos llamado “EnsalicFonts (.) Org” para mostrar un formulario de plazo hipócrita en las páginas de plazo, robar información ingresada y exfiltrar los datos al servidor del atacante.
Otro “ataque renovador de cardado de varias etapas” examinado por la compañía de seguridad del sitio web implica dirigirse a los portales de comercio electrónico de Magento con malware JavaScript diseñado para cosechar una amplia serie de información confidencial.
“Este malware aprovechó un archivo de imagen GIF hipócrita, los datos del almacenamiento de sesiones del navegador restringido y se manipuló con el tráfico del sitio web utilizando un servidor proxy inverso ladino para simplificar el robo de datos de tarjetas de crédito, detalles de inicio de sesión, cookies y otros datos confidenciales del sitio web comprometido”, dijo el investigador de seguridad Ben Martin.
El archivo GIF, en efectividad, es un script de PHP que actúa como un proxy inverso capturando solicitudes entrantes y utilizándola para compendiar la información necesaria cuando un visitante del sitio aterriza en la página de plazo.
Incluso se ha observado que los adversarios inyectan el código de Google Adsense en al menos 17 sitios de WordPress en varios lugares con el objetivo de entregar anuncios no deseados y gestar ingresos, ya sea por clic o por impresión.
“Están tratando de usar los posibles de su sitio para continuar sirviendo anuncios, y lo que es peor, podrían estar robando sus ingresos publicitarios si está utilizando Adsense usted mismo”, dijo la investigadora de seguridad Puja Srivastava. “Al inyectar su propio código de Google Adsense, se les paga en puesto de usted”.
Eso no es todo. Se ha antagónico que las verificaciones engañosas de CaptCha que se sirven en sitios web comprometidos engañan a los usuarios para que descarguen y ejecutan node.js Back-Soors que recopilan información del sistema, otorguen comunicación remoto e implementan un troyano de comunicación remoto de nodo.js (RAT), que está diseñado para túnel el tráfico ladino a través de los proyectos 5.
La actividad ha sido atribuida por TrustWave SpiderLabs a un sistema de distribución de tráfico (TDS) llamado Kongtuke (además conocido como 404 TDS, Chaya_002, Landupdate808 y TAG-124).
“El script JS que, se lanzó en posteriormente de la infección, está diseñado como una puerta trasera multifuncional capaz de un agradecimiento detallado del sistema, ejecutando comandos remotos, el tráfico de la red de túneles (proxy de calcetines5) y manteniendo comunicación encubierto y persistente”, dijo el investigador de seguridad Reegun Jayapaul.
