Investigadores de seguridad han descubierto una elaborada campaña de ciberataque que está utilizando sitios web comprometidos de WordPress para distribuir el troyano de acceso remoto NetSupport. Esta operación emplea un novedoso método de ingeniería social llamado «ClickFix».
Detalles de la Campaña y el Papel de Cybereason
El Centro de Operaciones de Seguridad Global (GSOC) de Cybereason fue quien identificó esta campaña en mayo de 2025. Han revelado cómo los ciberdelincuentes están transformando herramientas legítimas de acceso remoto en armas para obtener control no autorizado sobre los equipos de las víctimas. Este ataque marca un avance significativo en las tácticas cibercriminales, fusionando el compromiso de sitios web con la manipulación psicológica, logrando así evadir las defensas de seguridad modernas.
La Cadena de Ataque Multifásica
La campaña se inicia con correos electrónicos de phishing, archivos PDF adjuntos o enlaces maliciosos difundidos en sitios web de juegos. Estos dirigen a los usuarios a los sitios de WordPress comprometidos.
Una vez que los usuarios acceden a estas páginas infectadas, un código JavaScript malicioso —oculto en la meta descripción del sitio— carga y ejecuta automáticamente un script remoto denominado «j.js» desde el dominio islonline.org.
Según analistas de ciberseguridad familiarizados con la investigación, «los atacantes se dirigen específicamente a los usuarios de Windows y han incorporado mecanismos para evitar la detección». Este script malicioso primero identifica el sistema operativo y los detalles del navegador del usuario. Luego, verifica si el usuario ya ha visitado el sitio, utilizando el seguimiento del almacenamiento local para minimizar la exposición.
El aspecto más innovador del ataque involucra lo que los investigadores llaman la técnica «ClickFix».
Después de la infección inicial, a las víctimas se les presenta una página de verificación CAPTCHA falsa que parece legítima, completa con un estilo moderno que utiliza marcos React y TailwindCSS.
Sin embargo, en lugar de verificar la interacción humana, la página copia en secreto un comando malicioso de PowerShell en el portapapeles del usuario.
Luego, el CAPTCHA falso indica a los usuarios que presionen Windows + R y peguen el «código de verificación» en el cuadro de diálogo Ejecutar.
Creyendo que están completando una verificación de seguridad estándar, las víctimas, sin saberlo, ejecutan un comando que descarga e instala el software del cliente NetSupport.
«Esta técnica es particularmente insidiosa porque explota la familiaridad del usuario con los desafíos CAPTCHA mientras elude los controles de seguridad del navegador», explicaron los investigadores de seguridad.
«El propio usuario realiza el paso final de ejecución, evadiendo los sistemas de detección automatizados». Una vez instalado, el Cliente NetSupport establece una conexión persistente con los servidores de comando y control ubicados en Moldavia.
El malware crea entradas de registro para lograr persistencia y puede sobrevivir a los reinicios del sistema, lo que permite a los atacantes mantener el acceso a largo plazo a los sistemas comprometidos.
A las pocas horas de un compromiso exitoso, se ha observado que los actores de amenazas realizan actividades de reconocimiento, incluida la consulta de Active Directory para computadoras de dominio y la transferencia de archivos a directorios públicos.
Los atacantes utilizan la función legítima de símbolo del sistema remoto de NetSupport para ejecutar comandos como «net group /domain ‘Domain Computers'» para mapear la infraestructura de la red.
Según datos de inteligencia de amenazas, NetSupport Manager se ubicó como la séptima amenaza más frecuente en 2024, y los ciberdelincuentes prefieren cada vez más herramientas legítimas para combinar actividades maliciosas con operaciones normales de TI.
Los expertos en seguridad recomiendan el aislamiento inmediato de los sistemas afectados, el restablecimiento de contraseñas para las cuentas comprometidas y el bloqueo de dominios y direcciones IP maliciosos identificados.
Las organizaciones también deben implementar monitoreo de actividad inusual de PowerShell y manipulación del portapapeles en contextos de navegador.
«La clave es reconocer que cualquier instrucción que requiera que los usuarios peguen comandos en los cuadros de diálogo Ejecutar de Windows debe ser tratada como altamente sospechosa», enfatizaron los investigadores de seguridad.
Se recomienda a los administradores de sitios web que auditen periódicamente los temas y complementos de WordPress para detectar inyecciones de scripts no autorizadas.
La campaña destaca la evolución del panorama de amenazas, donde los atacantes dependen cada vez más de la ingeniería social en lugar de exploits técnicos para lograr sus objetivos.
