Nueva campaña de malware en WordPress utiliza plugin falso de seguridad

Una nueva campaña de malware dirigida a sitios WordPress ha sido detectada, en la cual los atacantes distribuyen un plugin malicioso disfrazado de herramienta de seguridad, engañando a los administradores para que lo instalen y confíen en él. Esta amenaza proporciona acceso persistente, ejecución remota de código e inyección de JavaScript, todo mientras se oculta del panel de administración de WordPress para evitar la detección.

Cómo opera el malware en sitios WordPress

Investigadores de Wordfence, empresa especializada en la seguridad de WordPress, descubrieron el malware durante una limpieza de sitio a finales de enero de 2025. Detectaron una versión manipulada del archivo wp-cron.php, el cual creaba y activaba automáticamente un plugin malicioso llamado WP-antymalwary-bot.php.

El malware también ha sido detectado con otros nombres de plugins, entre ellos:

• addons.php
• wpconsole.php
• wp-performance-booster.php
• scr.php

Estos complementos no aparecen en la lista de plugins activos dentro del panel de administración de WordPress, lo que dificulta su detección por parte de los usuarios.

Mecanismos de persistencia y reinfección automática

Una de las características más peligrosas de esta campaña es que, incluso si el plugin malicioso es eliminado, el archivo wp-cron.php lo recrea automáticamente en la siguiente visita al sitio web. Esta función garantiza que los atacantes mantengan el acceso persistente a los sistemas comprometidos.

Debido a la ausencia de registros del servidor que puedan ayudar a rastrear el origen exacto de la infección, Wordfence sugiere que la intrusión puede haberse producido a través de credenciales FTP comprometidas o una cuenta de alojamiento vulnerada.

Acceso de administrador y ejecución remota de comandos

Una vez instalado, el plugin realiza una autoverificación de estado y habilita el acceso de administrador a los atacantes. Utiliza una función llamada emergency_login_all_admins, que permite iniciar sesión como administrador mediante un parámetro GET (emergency_login) y una contraseña en texto plano.

Este mecanismo localiza todos los usuarios con rol de administrador en la base de datos, selecciona uno e inicia sesión como ese usuario, otorgando a los atacantes control total del sitio WordPress.

Modificación del header.php y JavaScript malicioso

El malware también registra una ruta API REST personalizada no autenticada, lo que permite insertar código PHP arbitrario en todos los archivos header.php del tema activo. Esta API puede ejecutar múltiples comandos, entre ellos:

• Inserción de código PHP en archivos críticos
• Borrado de cachés de plugins
• Inyección de JavaScript codificado en base64 en la etiqueta <head> del sitio

Estos scripts pueden ser utilizados para mostrar publicidad invasiva, lanzar ataques de phishing o redirigir a los visitantes a sitios web maliciosos.

Cómo detectar señales de infección en WordPress

Además de los nombres de plugins mencionados, los administradores de sitios deben revisar cuidadosamente:

• El archivo wp-cron.php para identificar código sospechoso o funciones de autoinstalación.
• El archivo header.php del tema activo en busca de inserciones no autorizadas de código PHP o JavaScript.
• Los registros de acceso web, buscando patrones como emergency_login, check_plugin, urlchange y key, que pueden ser indicadores claros de actividad maliciosa.

¿Dónde está alojado el servidor C2?

Aunque aún se desconoce la identidad de los atacantes, Wordfence identificó que el servidor de comando y control (C2) asociado a esta campaña está ubicado en Chipre. Además, se han observado similitudes con un ataque a la cadena de suministro detectado en junio de 2024, lo que podría indicar un mismo actor o infraestructura compartida.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta