Recientemente se ha detectado una compleja y sigilosa campaña de malware que ataca sitios web de WordPress. Esta campaña distribuye un troyano basado en Windows mediante un método sofisticado que pasa desapercibido en sitios aparentemente seguros.
El ataque utiliza una cadena de infección por capas, empleando droppers basados en PHP, código ofuscado y tácticas de evasión basadas en IP. El objetivo es distribuir una carga útil maliciosa denominada client32.exe. Este descubrimiento subraya la constante evolución en las tácticas de los ciberdelincuentes para explotar plataformas web en la distribución de malware.
La infección se inicia con dos archivos PHP clave, header.php y man.php, que funcionan como el controlador principal y la interfaz administrativa, respectivamente.
El script header.php perfila a los visitantes, registra las direcciones IP en un archivo llamado count.txt para evitar infecciones repetidas y genera dinámicamente un archivo por lotes de Windows muy ofuscado, update.bat.
Según Sucuri Report, este script por lotes, forzado como descarga a través de encabezados HTTP manipulados, organiza un ataque de varias etapas en el sistema de la víctima.
Utiliza comandos de PowerShell para descargar un archivo ZIP malicioso, psps.zip, que contiene el troyano client32.exe, lo extrae a un directorio oculto en %APPDATA% y ejecuta la carga útil.
Además, el script garantiza la persistencia al agregar una entrada de registro a la clave de ejecución HKEY_CURRENT_USER, lo que permite que el troyano se inicie cada vez que se reinicia el sistema.
El binario client32.exe, identificado como un troyano de acceso remoto (RAT), establece una conexión encubierta a un servidor de comando y control (C2) en 5.252.178.123 en el puerto 443, lo que permite el control remoto y una posible filtración de datos.
El archivo administrativo, man.php, proporciona a los atacantes un panel basado en web para monitorear y manipular el registro de IP, restableciendo o agregando registros según sea necesario.
Este nivel de control, combinado con el sigilo de la campaña para evadir la detección mediante listas negras de IP y ejecución silenciosa, demuestra un esfuerzo calculado para maximizar las tasas de infección y al mismo tiempo minimizar la exposición.
El uso de PowerShell para la entrega y extracción de carga útil complica aún más la detección por parte de las soluciones de seguridad de endpoints, ya que los atacantes aprovechan cada vez más herramientas legítimas del sistema con fines maliciosos.
Para los propietarios de sitios web, este caso subraya la importancia del monitoreo continuo, la implementación de firewalls de aplicaciones web (WAF) y el mantenimiento de CMS y software de servidor actualizados para evitar compromisos iniciales.
Se insta a los usuarios finales a tener cuidado con descargas inesperadas, mantener activas las soluciones antivirus y garantizar que las actualizaciones del sistema se apliquen con prontitud para mitigar los riesgos.
Esta campaña de malware de WordPress sirve como un claro recordatorio de las amenazas persistentes y en evolución en el panorama digital, donde los atacantes traspasan los límites del sigilo para comprometer tanto las plataformas web como los sistemas de los usuarios finales.
