Los investigadores de ciberseguridad están llamando la atención sobre una nefasta campaña dirigida a sitios de WordPress para realizar inyecciones maliciosas de JavaScript diseñadas para redirigir a los usuarios a sitios sospechosos.
“A los visitantes del sitio se les inyecta contenido que era malware, como una comprobación falsa de Cloudflare”, dijo el investigador de Sucuri, Puja Srivastava, en un descomposición publicado la semana pasada.
La compañía de seguridad de sitios web dijo que comenzó una investigación posteriormente de que uno de los sitios de WordPress de su cliente ofreciera JavaScript sospechoso de terceros a los visitantes del sitio, y finalmente descubrió que los atacantes introdujeron modificaciones maliciosas en un archivo relacionado con el tema (“functions.php”).
El código insertado en “functions.php” incorpora referencias a Google Ads, probablemente en un intento de evitar la detección. Pero, en verdad, funciona como un cargador remoto enviando una solicitud HTTP POST al dominio “brazilc(.)com”, que, a su vez, avala con una carga útil dinámica que incluye dos componentes:
- Un archivo JavaScript alojado en un servidor remoto (“porsasystem(.)com”), al que, al momento de escribir este artículo, se le ha hecho narración en 17 sitios web y contiene código para realizar redirecciones de sitios.
- Un fragmento de código JavaScript que crea un iframe oculto de 1×1 píxeles, interiormente del cual inyecta código que imita activos legítimos de Cloudflare como “cdn-cgi/challenge-platform/scripts/jsd/main.js”, una API que es una parte central de su plataforma de desafío y detección de bots.
Vale la pena señalar que el dominio “porsasystem(.)com” ha sido traumatizado como parte de un sistema de distribución de tráfico (TDS) llamado Kongtuke (asimismo conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124).
Según la información compartida por una cuenta llamamiento “monitorsg” en Mastodon el 19 de septiembre de 2025, la cautiverio de infección comienza cuando los usuarios visitan un sitio comprometido, lo que resulta en la ejecución de “porsasystem(.)com/6m9x.js”, que luego conduce a “porsasystem(.)com/js.php” para eventualmente resistir a las víctimas a páginas estilo ClickFix para la distribución de malware.
Los hallazgos ilustran la indigencia de proteger los sitios de WordPress y asegurar que los complementos, temas y software del sitio web se mantengan actualizados, aplicando contraseñas seguras, escaneando los sitios en indagación de anomalías y cuentas de administrador inesperadas creadas para persistir el llegada persistente incluso posteriormente de que se detecte y elimine el malware.
Cree páginas ClickFix con IUAM ClickFix Generator
La divulgación se produce cuando la Mecanismo 42 de Palo Parada Networks detalló un kit de phishing llamado IUAM ClickFix Generator que permite a los atacantes infectar a los usuarios con malware aprovechando la técnica de ingeniería social ClickFix y crear páginas de destino personalizables imitando los desafíos de comprobación del navegador que a menudo se utilizan para asediar el tráfico automatizado.
“Esta aparejo permite a los actores de amenazas crear páginas de phishing mucho personalizables que imitan el comportamiento de desafío-respuesta de una página de comprobación del navegador comúnmente implementada por las redes de entrega de contenido (CDN) y los proveedores de seguridad en la cirro para defenderse contra amenazas automatizadas”, dijo el investigador de seguridad Amer Elsad. “La interfaz falsificada está diseñada para parecer legítima a las víctimas, lo que aumenta la validez del señuelo”.
Las páginas de phishing personalizadas asimismo vienen con capacidades para manipular el portapapeles, un paso crucial en el ataque ClickFix, así como detectar el sistema eficaz utilizado para adaptar la secuencia de infección y entregar malware compatible.
En al menos dos casos diferentes, se han detectado actores de amenazas utilizando páginas generadas con el kit para implementar ladrones de información como DeerStealer y Odyssey Stealer, el extremo de los cuales está diseñado para atacar sistemas Apple macOS.
La aparición del IUAM ClickFix Generator se suma a una alerta previa de Microsoft que advertía sobre un aumento de creadores comerciales de ClickFix en foros clandestinos desde finales de 2024. Otro ejemplo trascendente de un kit de phishing que ha integrado la propuesta es Impact Solutions.
“Los kits ofrecen la creación de páginas de destino con una variedad de señuelos disponibles, incluido Cloudflare”, señaló Microsoft en agosto de 2025. “Igualmente ofrecen la construcción de comandos maliciosos que los usuarios pegarán en el cuadro de diálogo Ejecutar de Windows. Estos kits afirman asegurar la elusión de la protección web y antivirus (algunos incluso prometen que pueden eludir Microsoft Defender SmartScreen), así como la persistencia de la carga útil”.
No hace error sostener que estas herramientas reducen aún más la barrera de entrada para los ciberdelincuentes, permitiéndoles copular ataques sofisticados y multiplataforma a escalera sin mucho esfuerzo ni experiencia técnica.
ClickFix se vuelve sigiloso mediante el contrabando de personalidad
Los hallazgos asimismo siguen al descubrimiento de una nueva campaña que ha innovado en la fórmula de ataque ClickFix al consumir una técnica furtiva conocida como contrabando de personalidad para tener lugar desapercibida en extensión de descargar explícitamente archivos maliciosos en el host de destino.
“Esta campaña se diferencia de las variantes anteriores de ClickFix en que el script pillo no descarga ningún archivo ni se comunica con Internet”, dijo Marcus Hutchins, investigador principal de amenazas de Expel. “Esto se logra utilizando la memoria personalidad del navegador para acumular de forma preventiva datos arbitrarios en la máquina del beneficiario”.
En el ataque documentado por la empresa de ciberseguridad, la página con el tema ClickFix se hace tener lugar por un verificador de cumplimiento de VPN de Fortinet, utilizando tácticas de FileFix para engañar a los usuarios para que inicien el Explorador de archivos de Windows y peguen un comando pillo en la mostrador de direcciones para activar la ejecución de la carga útil.
El comando invisible está diseñado para ejecutar un script de PowerShell a través de conhost.exe. Lo que distingue al script es que no descarga ningún malware adicional ni se comunica con un servidor controlado por un atacante. En su extensión, ejecuta una carga útil ofuscada que se hace tener lugar por una imagen JPEG y el navegador ya la almacena en personalidad cuando el beneficiario llega a la página de phishing.
“Ni la página web ni el script de PowerShell descargan explícitamente ningún archivo”, explicó Hutchins. “Simplemente dejando que el navegador almacene en personalidad la ‘imagen’ falsa, el malware puede obtener un archivo zip completo en el sistema específico sin que el comando PowerShell tenga que realizar ninguna solicitud web”.
“Las implicaciones de esta técnica son preocupantes, ya que el contrabando de personalidad puede ofrecer una modo de evitar protecciones que de otro modo atraparían archivos maliciosos a medida que se descargan y ejecutan. Se descarga un archivo ‘imagen/jpeg’ de apariencia inocua, solo para extraer su contenido y luego ejecutarlo a través de un comando de PowerShell oculto en un señuelo de phishing ClickFix”.
