Los investigadores de ciberseguridad están llamando la atención sobre una nefasta campaña dirigida a sitios de WordPress para realizar inyecciones maliciosas de JavaScript diseñadas para redirigir a los usuarios a sitios sospechosos.
«A los visitantes del sitio se les inyecta contenido que era malware, como una verificación falsa de Cloudflare», dijo el investigador de Sucuri, Puja Srivastava. dicho en un análisis publicado la semana pasada.
La compañía de seguridad de sitios web dijo que comenzó una investigación después de que uno de los sitios de WordPress de su cliente ofreciera JavaScript sospechoso de terceros a los visitantes del sitio, y finalmente descubrió que los atacantes introdujeron modificaciones maliciosas en un archivo relacionado con el tema («functions.php»).
El código insertado en «functions.php» incorpora referencias a Google Ads, probablemente en un intento de evadir la detección. Pero, en realidad, funciona como un cargador remoto enviando una solicitud HTTP POST al dominio «brazilc[.]com», que, a su vez, responde con una carga útil dinámica que incluye dos componentes:
- Un archivo JavaScript alojado en un servidor remoto («porsasystem[.]com»), que, al momento de escribir este artículo, ha sido referenciado en 17 sitios web y contiene código para realizar redirecciones del sitio
- Un fragmento de código JavaScript que crea un iframe oculto de 1×1 píxeles, dentro del cual inyecta código que imita activos legítimos de Cloudflare como «cdn-cgi/challenge-platform/scripts/jsd/main.js», una API que es una parte central de su plataforma de desafío y detección de bots.
Vale la pena señalar que el dominio «porsasistema[.]com» ha sido marcado como parte de un sistema de distribución de tráfico (TDS) llamado Kongtuke (también conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124).
Según información compartida por una cuenta llamada «monitores» en Mastodon el 19 de septiembre de 2025, la cadena de infección comienza cuando los usuarios visitan un sitio comprometido, lo que resulta en la ejecución de «porsasystem[.]com/6m9x.js», que luego conduce a «porsasystem[.]com/js.php» para eventualmente llevar a las víctimas a Hacer clic en arreglar-páginas de estilo para distribución de malware.
Los hallazgos ilustran la necesidad de proteger los sitios de WordPress y garantizar que los complementos, temas y software del sitio web se mantengan actualizados, aplicando contraseñas seguras, escaneando los sitios en busca de anomalías y cuentas de administrador inesperadas creado para mantener el acceso persistente incluso después de que se detecta y elimina el malware.
Cree páginas ClickFix con IUAM ClickFix Generator
La divulgación se produce cuando la Unidad 42 de Palo Alto Networks detalló un kit de phishing llamado IUAM ClickFix Generator que permite a los atacantes infectar a los usuarios con malware aprovechando la técnica de ingeniería social ClickFix y crear páginas de destino personalizables imitando los desafíos de verificación del navegador que a menudo se utilizan para bloquear el tráfico automatizado.
«Esta herramienta permite a los actores de amenazas crear páginas de phishing altamente personalizables que imitan el comportamiento de desafío-respuesta de una página de verificación del navegador comúnmente implementada por las redes de entrega de contenido (CDN) y los proveedores de seguridad en la nube para defenderse contra amenazas automatizadas», dijo el investigador de seguridad Amer Elsad. dicho. «La interfaz falsificada está diseñada para parecer legítima a las víctimas, lo que aumenta la eficacia del señuelo».
Las páginas de phishing personalizadas también vienen con capacidades para manipular el portapapeles, un paso crucial en el ataque ClickFix, así como detectar el sistema operativo utilizado para adaptar la secuencia de infección y entregar malware compatible.
En al menos dos casos diferentes, se han detectado actores de amenazas utilizando páginas generadas con el kit para implementar ladrones de información como Ladrón de ciervos y Ladrón de Odiseael último de los cuales está diseñado para sistemas Apple macOS.
La aparición del IUAM ClickFix Generator se suma a una alerta previa de Microsoft que advierte sobre un aumento de creadores comerciales de ClickFix en foros clandestinos desde finales de 2024. Otro ejemplo notable de un kit de phishing que ha integrado la oferta es Soluciones de impacto.
«Los kits ofrecen la creación de páginas de destino con una variedad de atractivos disponibles, incluido Cloudflare», Microsoft anotado en agosto de 2025. «También ofrecen la construcción de comandos maliciosos que los usuarios pegarán en el cuadro de diálogo Ejecutar de Windows. Estos kits afirman garantizar la omisión de protección web y antivirus (algunos incluso prometen que pueden omitir Microsoft Defender SmartScreen), así como la persistencia de la carga útil».
No hace falta decir que estas herramientas reducen aún más la barrera de entrada para los ciberdelincuentes, permitiéndoles montar ataques sofisticados y multiplataforma a escala sin mucho esfuerzo ni experiencia técnica.
ClickFix se vuelve sigiloso mediante el contrabando de caché
Los hallazgos también siguen al descubrimiento de una nueva campaña que ha innovado en la fórmula de ataque ClickFix empleando una técnica furtiva conocida como contrabando de caché pasar desapercibido en lugar de descargar explícitamente archivos maliciosos en el host de destino.
«Esta campaña se diferencia de las variantes anteriores de ClickFix en que el script malicioso no descarga ningún archivo ni se comunica con Internet», dijo el investigador principal de amenazas de Expel, Marcus Hutchins. dicho. «Esto se logra utilizando la memoria caché del navegador para almacenar de forma preventiva datos arbitrarios en la máquina del usuario».
En el ataque documentado por la empresa de ciberseguridad, la página con el tema ClickFix se hace pasar por un Comprobador de cumplimiento de VPN de Fortinet, utilizando ArchivoFix tácticas para engañar a los usuarios para que inicien el Explorador de archivos de Windows y peguen un comando malicioso en la barra de direcciones para activar la ejecución de la carga útil.
El comando invisible está diseñado para ejecutar un script de PowerShell a través de conhost.exe. Lo que distingue al script es que no descarga ningún malware adicional ni se comunica con un servidor controlado por un atacante. En su lugar, ejecuta una carga útil ofuscada que se hace pasar por una imagen JPEG y ya está almacenado en caché por el navegador cuando el usuario llega a la página de phishing.
«Ni la página web ni el script de PowerShell descargan explícitamente ningún archivo», explicó Hutchins. «Simplemente dejando que el navegador almacene en caché la 'imagen' falsa, el malware puede obtener un archivo zip completo en el sistema local sin que el comando PowerShell tenga que realizar ninguna solicitud web».
«Las implicaciones de esta técnica son preocupantes, ya que el contrabando de caché puede ofrecer una forma de evadir protecciones que de otro modo atraparían archivos maliciosos a medida que se descargan y ejecutan. Se descarga un archivo 'imagen/jpeg' de apariencia inocua, solo para extraer su contenido y luego ejecutarlo a través de un comando de PowerShell oculto en un señuelo de phishing ClickFix».
Fuente