Los investigadores de ciberseguridad están llamando la atención sobre una nefasta campaña dirigida a sitios de WordPress para realizar inyecciones maliciosas de JavaScript diseñadas para redirigir a los usuarios a sitios sospechosos.
«A los visitantes del sitio se les inyecta contenido que era malware, como una comprobación falsa de Cloudflare», dijo el investigador de Sucuri, Puja Srivastava, en un exploración publicado la semana pasada.
La compañía de seguridad de sitios web dijo que comenzó una investigación a posteriori de que uno de los sitios de WordPress de su cliente ofreciera JavaScript sospechoso de terceros a los visitantes del sitio, y finalmente descubrió que los atacantes introdujeron modificaciones maliciosas en un archivo relacionado con el tema («functions.php»).
El código insertado en «functions.php» incorpora referencias a Google Ads, probablemente en un intento de evitar la detección. Pero, en sinceridad, funciona como un cargador remoto enviando una solicitud HTTP POST al dominio «brazilc(.)com», que, a su vez, asegura con una carga útil dinámica que incluye dos componentes:
- Un archivo JavaScript alojado en un servidor remoto («porsasystem(.)com»), al que, al momento de escribir este artículo, se le ha hecho remisión en 17 sitios web y contiene código para realizar redirecciones de sitios.
- Un fragmento de código JavaScript que crea un iframe oculto de 1×1 píxeles, internamente del cual inyecta código que imita activos legítimos de Cloudflare como «cdn-cgi/challenge-platform/scripts/jsd/main.js», una API que es una parte central de su plataforma de desafío y detección de bots.
Vale la pena señalar que el dominio «porsasystem(.)com» ha sido afectado como parte de un sistema de distribución de tráfico (TDS) llamado Kongtuke (igualmente conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124).
Según la información compartida por una cuenta indicación «monitorsg» en Mastodon el 19 de septiembre de 2025, la prisión de infección comienza cuando los usuarios visitan un sitio comprometido, lo que resulta en la ejecución de «porsasystem(.)com/6m9x.js», que luego conduce a «porsasystem(.)com/js.php» para eventualmente transigir a las víctimas a páginas estilo ClickFix para la distribución de malware.
Los hallazgos ilustran la escazes de proteger los sitios de WordPress y respaldar que los complementos, temas y software del sitio web se mantengan actualizados, aplicando contraseñas seguras, escaneando los sitios en averiguación de anomalías y cuentas de administrador inesperadas creadas para suministrar el paso persistente incluso a posteriori de que se detecte y elimine el malware.
Cree páginas ClickFix con IUAM ClickFix Generator
La divulgación se produce cuando la Pelotón 42 de Palo Stop Networks detalló un kit de phishing llamado IUAM ClickFix Generator que permite a los atacantes infectar a los usuarios con malware aprovechando la técnica de ingeniería social ClickFix y crear páginas de destino personalizables imitando los desafíos de comprobación del navegador que a menudo se utilizan para cerrar el tráfico automatizado.
«Esta utensilio permite a los actores de amenazas crear páginas de phishing en extremo personalizables que imitan el comportamiento de desafío-respuesta de una página de comprobación del navegador comúnmente implementada por las redes de entrega de contenido (CDN) y los proveedores de seguridad en la estrato para defenderse contra amenazas automatizadas», dijo el investigador de seguridad Amer Elsad. «La interfaz falsificada está diseñada para parecer legítima a las víctimas, lo que aumenta la operatividad del señuelo».
Las páginas de phishing personalizadas igualmente vienen con capacidades para manipular el portapapeles, un paso crucial en el ataque ClickFix, así como detectar el sistema eficaz utilizado para adaptar la secuencia de infección y entregar malware compatible.
En al menos dos casos diferentes, se han detectado actores de amenazas utilizando páginas generadas con el kit para implementar ladrones de información como DeerStealer y Odyssey Stealer, el posterior de los cuales está diseñado para atacar sistemas Apple macOS.
La aparición del IUAM ClickFix Generator se suma a una alerta previa de Microsoft que advertía sobre un aumento de creadores comerciales de ClickFix en foros clandestinos desde finales de 2024. Otro ejemplo extraordinario de un kit de phishing que ha integrado la ofrecimiento es Impact Solutions.
«Los kits ofrecen la creación de páginas de destino con una variedad de señuelos disponibles, incluido Cloudflare», señaló Microsoft en agosto de 2025. «Todavía ofrecen la construcción de comandos maliciosos que los usuarios pegarán en el cuadro de diálogo Ejecutar de Windows. Estos kits afirman respaldar la elusión de la protección web y antivirus (algunos incluso prometen que pueden eludir Microsoft Defender SmartScreen), así como la persistencia de la carga útil».
No hace errata proponer que estas herramientas reducen aún más la barrera de entrada para los ciberdelincuentes, permitiéndoles totalizar ataques sofisticados y multiplataforma a escalera sin mucho esfuerzo ni experiencia técnica.
ClickFix se vuelve sigiloso mediante el contrabando de gusto
Los hallazgos igualmente siguen al descubrimiento de una nueva campaña que ha innovado en la fórmula de ataque ClickFix al gastar una técnica furtiva conocida como contrabando de gusto para ocurrir desapercibida en circunscripción de descargar explícitamente archivos maliciosos en el host de destino.
«Esta campaña se diferencia de las variantes anteriores de ClickFix en que el script pillo no descarga ningún archivo ni se comunica con Internet», dijo Marcus Hutchins, investigador principal de amenazas de Expel. «Esto se logra utilizando la memoria gusto del navegador para juntar de forma preventiva datos arbitrarios en la máquina del favorecido».
En el ataque documentado por la empresa de ciberseguridad, la página con el tema ClickFix se hace ocurrir por un verificador de cumplimiento de VPN de Fortinet, utilizando tácticas de FileFix para engañar a los usuarios para que inicien el Explorador de archivos de Windows y peguen un comando pillo en la mostrador de direcciones para activar la ejecución de la carga útil.
El comando invisible está diseñado para ejecutar un script de PowerShell a través de conhost.exe. Lo que distingue al script es que no descarga ningún malware adicional ni se comunica con un servidor controlado por un atacante. En su circunscripción, ejecuta una carga útil ofuscada que se hace ocurrir por una imagen JPEG y el navegador ya la almacena en gusto cuando el favorecido llega a la página de phishing.
«Ni la página web ni el script de PowerShell descargan explícitamente ningún archivo», explicó Hutchins. «Simplemente dejando que el navegador almacene en gusto la ‘imagen’ falsa, el malware puede obtener un archivo zip completo en el sistema tópico sin que el comando PowerShell tenga que realizar ninguna solicitud web».
«Las implicaciones de esta técnica son preocupantes, ya que el contrabando de gusto puede ofrecer una guisa de evitar protecciones que de otro modo atraparían archivos maliciosos a medida que se descargan y ejecutan. Se descarga un archivo ‘imagen/jpeg’ de apariencia inocua, solo para extraer su contenido y luego ejecutarlo a través de un comando de PowerShell oculto en un señuelo de phishing ClickFix».
