Los investigadores de seguridad han descubierto una sofisticada campaña cibernética que aprovecha los sitios web comprometidos de WordPress para distribuir el troyano de acceso remoto de NetSupport a través de un innovador método de ingeniería social denominado “ClickFix”.
El Centro de Operaciones de Seguridad Global de CyberEason (GSOC) descubrió la campaña en mayo de 2025, revelando cómo los actores de amenaza están armando herramientas de acceso remoto legítimos para obtener un control no autorizado sobre las computadoras víctimas.
El ataque representa una evolución significativa en las tácticas cibercriminales, combinando el compromiso del sitio web con la manipulación psicológica para evitar las defensas de seguridad modernas.
Cadena de ataque de varias etapas
La campaña comienza con correos electrónicos de phishing, archivos adjuntos PDF o enlaces maliciosos publicados en sitios web de juegos que redirigen a los usuarios a sitios comprometidos de WordPress.
Una vez que los visitantes aterrizan en estas páginas infectadas, el código de JavaScript malicioso oculto en la meta descripción del sitio web carga automáticamente y ejecuta un script remoto llamado “J.JS” del dominio islonline.org.
“Los atacantes están dirigidos específicamente a los usuarios de Windows y tienen mecanismos incorporados para evitar la detección”, dijeron analistas de ciberseguridad familiarizados con la investigación.
El script malicioso primero identifica el sistema operativo del usuario y los detalles del navegador, luego verifica si ha visitado el sitio antes de usar el seguimiento de almacenamiento local para minimizar la exposición.
Cadena de ataque
El aspecto más innovador del ataque implica lo que los investigadores llaman la técnica “ClickFix”.
Después de la infección inicial, a las víctimas se les presentan una página de verificación Captcha falsa que parece legítima, completa con un estilo moderno utilizando Marcos React y Tailwindcss.
Sin embargo, en lugar de verificar la interacción humana, la página copia secretamente un comando de PowerShell malicioso al portapapeles del usuario.
Decepción de secuestro de portapapeles
El Captcha falso luego instruye a los usuarios que presionen Windows + R y peguen el “Código de verificación” en el cuadro de diálogo Ejecutar.
Creyendo que están completando una verificación de seguridad estándar, las víctimas ejecutan, sin saberlo, un comando que descarga e instala el software del cliente NetSupport.
“Esta técnica es particularmente insidiosa porque explota la familiaridad del usuario con los desafíos de CaptCha mientras evita los controles de seguridad del navegador”. explicado Investigadores de seguridad.
cadena de ataque de clickfix
“El usuario propio realiza el paso de ejecución final, evadiendo sistemas de detección automatizados”. Una vez instalado, el cliente NetSupport establece una conexión persistente con los servidores de comando y control ubicados en Moldavia.
El malware crea entradas de registro para la persistencia y puede sobrevivir a los reinicios del sistema, lo que permite a los atacantes mantener el acceso a largo plazo a los sistemas comprometidos.
Actividades posteriores a la infección
A las pocas horas de un compromiso exitoso, se ha observado que los actores de amenaza realizan actividades de reconocimiento, incluida la consulta de Active Directory para computadoras de dominio y la transferencia de archivos a directorios públicos.
Los atacantes usan la característica de símbolo del sistema remoto legítimo de NetSupport para ejecutar comandos como “Group Net /Domain ‘Computers'” para asignar la infraestructura de la red.
Según los datos de inteligencia de amenazas, NetSupport Manager se clasificó como la séptima amenaza más frecuente en 2024, y los ciberdelincuentes favorecieron cada vez más herramientas legítimas para combinar actividades maliciosas con operaciones de TI normales.
Los expertos en seguridad recomiendan el aislamiento inmediato de los sistemas afectados, los restos de contraseña para cuentas comprometidas y el bloqueo de dominios maliciosos y direcciones IP identificadas.
Las organizaciones también deben implementar el monitoreo de la actividad inusual de PowerShell y la manipulación del portapapeles en los contextos del navegador.
“La clave es reconocer que cualquier instrucción que requiere que los usuarios peguen los comandos en los diálogos de Windows Ejecutar deben tratarse como altamente sospechosos”, enfatizaron los investigadores de seguridad.
Se aconseja a los administradores del sitio web que auditen regularmente temas y complementos de WordPress para inyecciones de script no autorizadas.
La campaña destaca el panorama de amenazas en evolución, donde los atacantes dependen cada vez más de la ingeniería social en lugar de las hazañas técnicas para lograr sus objetivos.
Alerta de seminario web exclusivo: aprovechar las innovaciones del procesador Intel® para la seguridad avanzada de API – Regístrese gratis
.webp?w=1600&resize=1600,900&ssl=1){kind=link}