Se ha descubierto una sofisticada campaña de malware de varias etapas dirigidas a sitios web de WordPress, empleando una intrincada cadena de infecciones que ofrece a los troyanos de Windows a visitantes desprevenidos mientras mantiene la invisibilidad completa a las verificaciones de seguridad estándar.
El malware representa una evolución significativa en las técnicas de ataque basadas en la web, combinando puestos traseros de PHP con mecanismos de evasión avanzados para establecer un acceso persistente a los sistemas de víctimas.
El ataque comienza con una instalación de WordPress engañosamente limpia que no muestra signos obvios de compromiso.
A diferencia de las infecciones de malware tradicionales que a menudo muestran desalentaciones visibles o redireccionamientos sospechosos, esta campaña opera completamente debajo de la superficie, lo que hace que la detección sea extremadamente desafiante para los administradores del sitio web y las herramientas de seguridad por igual.
Investigaciones Sucuri identificado Esta compleja amenaza después de investigar lo que inicialmente parecía ser un compromiso de rutina de WordPress.
El malware emplea un enfoque en capas que involucra a droppers basados en PHP, un código fuertemente ofuscado, técnicas de evasión basadas en IP, scripts de lotes generados por auto y un archivo de cremallera maliciosa que contiene la carga útil final de Windows Troyan identificada como Client32.Exe.
Customer32.exe (Fuente – Jues)
El mecanismo de infección se centra en un sofisticado sistema de controlador PHP que perfila a los visitantes y hace cumplir las estrictas medidas anti-análisis.
El componente principal, Header.php, funciona como el centro de inteligencia central, implementando el registro basado en IP para evitar infecciones repetidas de la misma fuente.
Este archivo solo responde a las solicitudes de publicación y mantiene una lista negra en Count.txt para rastrear las direcciones IP visitantes, asegurando que cada víctima reciba la carga útil solo una vez.
Mecanismos avanzados de entrega de carga útil y persistencia
El sistema de entrega de carga útil del malware demuestra una notable sofisticación técnica a través de sus capacidades dinámicas de generación de archivos por lotes.
Cuando se identifica una nueva víctima, Headerer.php construye un script por lotes de Windows que orquesta el proceso de infección completo.
Este script utiliza comandos de PowerShell con sintaxis ofuscada para descargar el archivo ZIP malicioso de los servidores externos, específicamente dirigido al directorio % AppData % para el almacenamiento de la carga útil.
El mecanismo de persistencia representa uno de los aspectos más preocupantes de esta campaña. Tras la ejecución, el script de lotes generado modifica el registro de Windows agregando una entrada a HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, asegurando que el cliente Trojan32.Exe se inicie automáticamente durante el inicio del sistema.
Este registro de modificación garantiza la supervivencia de malware en los reinicios del sistema y las sesiones de usuario.
La carga útil final establece una conexión de puerta trasera al servidor de comando y control al 5.252.178.123 en el puerto 443, lo que permite las capacidades de acceso remoto típico de las amenazas persistentes avanzadas.
El malware incluye mecanismos de limpieza que eliminan las trazas de descarga iniciales al tiempo que preservan deliberadamente el ejecutable extraído para la operación continua.
Esta campaña destaca la creciente sofisticación de los sistemas de entrega de malware basados en WordPress y subraya la necesidad crítica de un monitoreo integral de seguridad más allá de los métodos de detección tradicionales basados en la firma.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
