Los investigadores de ciberseguridad advierten sobre campañas maliciosas dirigidas a sitios de WordPress con inyecciones maliciosas de JavaScript diseñadas para redirigir a los usuarios a sitios sospechosos.
«A los visitantes del sitio se les inyecta contenido que es malware, como una verificación falsa de Cloudflare», dijo el investigador de Sucuri, Puja Srivastava, en un análisis publicado la semana pasada.
Una empresa de seguridad de sitios web dijo que inició una investigación después de que uno de los sitios de WordPress de su cliente ofreciera JavaScript sospechoso de terceros a los visitantes del sitio y finalmente descubrió que el atacante había realizado cambios maliciosos en un archivo relacionado con el tema (‘functions.php’).
El código inyectado en «functions.php» incluye una referencia a Google Ads, presumiblemente para evadir la detección. Sin embargo, en realidad actúa como un cargador remoto enviando una solicitud HTTP POST al dominio «brazilc(.)com», que responde con una carga útil dinámica que contiene dos componentes.
Un archivo JavaScript alojado en un servidor remoto (‘porsasystem(.)com’) (al que hacen referencia 17 sitios web en el momento de escribir este artículo y contiene código que realiza redirecciones de sitios) Un fragmento de código JavaScript que crea un iframe oculto de 1×1 píxeles. En su interior, inserte un código que imite un activo legítimo de Cloudflare, como «cdn-cgi/challenge-platform/scripts/jsd/main.js». – API central de la plataforma de desafío y detección de bots
Vale la pena señalar que el dominio ‘porsasystem(.)com’ está marcado como parte de un sistema de distribución de tráfico (TDS) llamado Kongtuke (también conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124).
Según la información compartida por una cuenta llamada «monitorsg» en Mastodon el 19 de septiembre de 2025, la cadena de infección comienza cuando un usuario visita un sitio comprometido, lo que resulta en la ejecución de «porsasystem(.)com/6m9x.js», que luego conduce a «porsasystem(.)com/js.php», que finalmente redirige a la víctima a una página estilo ClickFix para la distribución de malware.
Este hallazgo apunta a la necesidad de proteger los sitios de WordPress y mantener actualizados los complementos, temas y software del sitio web, imponer contraseñas seguras, escanear sitios en busca de anomalías y crear cuentas de administrador inesperadas para mantener el acceso persistente incluso después de que se detecte y elimine el malware.
Cree una página ClickFix utilizando el generador IUAM ClickFix
La divulgación se produjo cuando la Unidad 42 de Palo Alto Networks detalló un kit de phishing llamado IUAM ClickFix Generator que aprovecha las técnicas de ingeniería social de ClickFix para infectar a los usuarios con malware y permitir a los atacantes crear páginas de destino personalizables que imitan los desafíos de verificación del navegador comúnmente utilizados para bloquear el tráfico automatizado.
«Esta herramienta permite a los atacantes crear páginas de phishing altamente personalizables que imitan el comportamiento de desafío-respuesta de las páginas de validación del navegador comúnmente implementadas por las redes de entrega de contenido (CDN) y los proveedores de seguridad en la nube para proteger contra amenazas automatizadas», dijo el investigador de seguridad Ammar Elsad. «La interfaz falsificada está diseñada para parecer legítima a la víctima, lo que aumenta la eficacia del señuelo».
La página de phishing personalizada también tiene la capacidad de manipular el portapapeles, un paso clave en un ataque ClickFix, y detectar el sistema operativo utilizado para ajustar la secuencia de infección y entregar malware compatible.
En al menos dos casos diferentes, se han detectado actores de amenazas utilizando páginas generadas mediante kits que implementan ladrones de información, como DeerStealer y Odyssey Stealer. Odyssey Stealer está diseñado para apuntar a sistemas Apple macOS.
La llegada del IUAM ClickFix Generator refuerza aún más la advertencia anticipada de Microsoft de que los creadores comerciales de ClickFix aumentarán en los foros clandestinos a partir de finales de 2024. Otro ejemplo notable de un kit de phishing que ha integrado este producto es Impact Solutions.
Microsoft dijo en agosto de 2025: «Estos kits ofrecen la creación de páginas de destino utilizando una variedad de señuelos disponibles, incluido Cloudflare. También proporcionan la construcción de comandos maliciosos que los usuarios pegan en el cuadro de diálogo Ejecutar de Windows. Estos kits afirman garantizar la persistencia de la carga útil y evitar la protección antivirus y web (algunos incluyen Microsoft Defender). Algunos incluso prometen evitar SmartScreen».
No hace falta decir que estas herramientas reducen aún más la barrera de entrada para los ciberdelincuentes, permitiéndoles lanzar sofisticados ataques multiplataforma a escala sin requerir mucho esfuerzo o experiencia técnica.
ClickFix se vuelve sigiloso mediante el contrabando de caché
Los hallazgos también siguen al descubrimiento de una nueva campaña que renueva el método de ataque ClickFix al permanecer fuera del radar y utilizar una técnica furtiva conocida como contrabando de caché, en lugar de descargar explícitamente archivos maliciosos a los hosts de destino.
«Esta campaña se diferencia de las variantes anteriores de ClickFix en que el script malicioso no descarga archivos ni se comunica con Internet», dijo Marcus Hutchins, investigador principal de amenazas de Expel. «Esto se logra almacenando de forma preventiva datos arbitrarios en la máquina del usuario utilizando la memoria caché del navegador».
En un ataque documentado por la empresa de ciberseguridad, una página con el tema ClickFix se hace pasar por Fortinet VPN Compliance Checker y utiliza tácticas de FileFix para engañar a los usuarios para que inicien el Explorador de archivos de Windows, peguen un comando malicioso en la barra de direcciones y activen la ejecución de la carga útil.
Los comandos ocultos están diseñados para ejecutar scripts de PowerShell a través de conhost.exe. Lo que hace que este script sea único es que no descarga ningún malware adicional ni se comunica con servidores controlados por atacantes. En su lugar, se ejecuta una carga útil ofuscada que se disfraza como una imagen JPEG y el navegador ya la almacena en caché cuando el usuario visita la página de phishing.
«Ni las páginas web ni los scripts de PowerShell descargan archivos explícitamente», explicó Hutchins. «Simplemente almacenando en caché una ‘imagen’ falsa en el navegador, el malware puede recuperar el archivo zip completo en el sistema local sin realizar una solicitud web con un comando de PowerShell».
«Las implicaciones de esta técnica son alarmantes, ya que el contrabando de caché puede proporcionar una forma de eludir las protecciones que detectan archivos maliciosos cuando se descargan y ejecutan. Simplemente se descarga un archivo «imagen/jpeg» de apariencia inocente, se extrae su contenido y se ejecuta mediante comandos de PowerShell ocultos en el señuelo de phishing ClickFix».
Source link
