Ha surgido una sofisticada campaña de malware dirigida a sitios web de WordPress y WooCommerce con skimmers de tarjetas de crédito altamente ofuscados y capacidades de robo de credenciales, lo que representa una escalada significativa en ciberciones de comercio electrónico.
La familia de malware demuestra una sofisticación técnica avanzada a través de su arquitectura modular, con múltiples variantes diseñadas para diferentes propósitos maliciosos, incluyendo robo de datos de pago, cosecha de credenciales de WordPress e inyección de publicidad fraudulenta.
La complejidad técnica de la campaña es particularmente notable por su incorporación de medidas anti-análisis típicamente asociadas con amenazas persistentes avanzadas, incluida la detección de herramientas de desarrolladores, el reembolso de la consola y las técnicas sofisticadas de manipulación de forma que permiten a los atacantes integrar la funcionalidad maliciosa sin problemas en los procesos legítimos de choque.
La línea de tiempo operativa de la campaña revela un panorama de amenazas sostenido y en evolución, con evidencia que indica un desarrollo continuo y actividades de despliegue que abarcan desde septiembre de 2023 hasta la actualidad.
La persistencia y adaptabilidad del malware sugieren un actor de amenaza de recursos bien recapitulados capaz de mantener operaciones a largo plazo, al tiempo que refina continuamente sus metodologías de ataque para evadir los sistemas de detección.
Lo más preocupante es la capacidad del malware para evitar la detección al limitar la ejecución a áreas de sitio web específicas, emplear cookies para reconocer a los administradores del sitio e implementar mecanismos de orientación sofisticados que garantizan que las operaciones permanecen encubiertas mientras maximizan la eficiencia de la recolección de datos.
Investigadores de Wordfence identificado Esta familia de malware durante una operación de limpieza del sitio de rutina el 16 de mayo de 2025, que posteriormente descubre una infraestructura compleja que respalda múltiples vectores de ataque en numerosos sitios web comprometidos.
El descubrimiento condujo a un análisis exhaustivo de más de 20 muestras de malware, revelando bases de código compartidas con conjuntos de características variables que demuestran la naturaleza modular y la adaptabilidad del marco a diferentes entornos objetivo.
Quizás lo más alarmante es la innovación de la campaña en el embalaje de malware como un complemento Rogue WordPress, completo con la funcionalidad del servidor de backend que convierte sitios web comprometidos en interfaces personalizadas para atacantes.
Este enfoque representa una desviación de las operaciones tradicionales de descremado al establecer una infraestructura persistente directamente en los sitios web de víctimas, creando efectivamente las capacidades distribuidas de comando y control mientras se mantiene la aparición de la funcionalidad legítima del complemento.
Técnicas avanzadas contra el análisis y evasión
El aspecto más sofisticado del malware se encuentra en su conjunto integral de técnicas antianálisis diseñadas para frustrar a los investigadores de seguridad y los sistemas de detección automatizados.
El mecanismo de evasión primario implica el monitoreo continuo de las herramientas del desarrollador del navegador a través del análisis de dimensión de la ventana, implementando la siguiente lógica de detección:–
setInterval (function () {var _0xff65e4 = window.outerwidth – window.innerwidth> 160; var _0x24fb7b = window.outerheight – window.innerheight> 160; var _0x32180e = _0xff65e4? !(_0x24fb7b && _0xff65e4) && (window. Firebug && window.Firebug.chrome && window.Firebug.chrome.isInitialized || _0xff65e4 || _0x24fb7b)) { window.dispatchEvent(new CustomEvent(“devtoolschange”, {detail: {open: true, Orientación: _0x32180e}}));
Esta técnica monitorea continuamente las diferencias entre las dimensiones de las ventanas externas e internas para detectar cuándo las herramientas del desarrollador están activas, alterando posteriormente el comportamiento de malware para evitar el análisis basado en la consola.
Además, el malware implementa trampas de depuradores y bucles infinitos diseñados para bloquear las pestañas del navegador o las herramientas de análisis de congelación cuando se detectan intentos de depuración.
Las variantes más avanzadas incorporan mecanismos de reembolso de consola que anulan dinámicamente los métodos de consola estándar, castran efectivamente los enfoques de depuración de JavaScript tradicionales y demuestran un nivel de sofisticación rara vez observado en las campañas de malware de productos básicos dirigidos a las plataformas de comercio electrónico.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar Tria gratis de 14 días
