Área clientes

Nueva Campaña ClickFix Explota Sitios WordPress para Distribuir Malware Avanzado

Investigadores de ciberseguridad han descubierto una campaña maliciosa que tiene como objetivo sitios de WordPress para inyectar código JavaScript malicioso. Este código redirige a los visitantes a sitios web sospechosos, utilizando una técnica de phishing conocida como ClickFix. En esencia, los atacantes insertan modificaciones maliciosas en el archivo ‘functions.php’ de temas de WordPress.

El código inyectado contiene referencias a Google Ads, probablemente para evitar ser detectado. Sin embargo, su verdadera función es actuar como un cargador remoto, enviando una solicitud HTTP POST al dominio ‘brazilc[.]com’. Este dominio responde con un payload dinámico que incluye:

* Un archivo JavaScript alojado en un servidor remoto (‘porsasystem[.]com’), que contiene código para realizar redirecciones del sitio.
* Código JavaScript que crea un iframe oculto de 1×1 píxeles, dentro del cual inyecta código que imita activos legítimos de Cloudflare, como ‘cdn-cgi/challenge-platform/scripts/jsd/main.js’.

Se ha identificado que el dominio ‘porsasystem[.]com’ forma parte de un sistema de distribución de tráfico (TDS) llamado Kongtuke. La cadena de infección comienza cuando los usuarios visitan un sitio comprometido, lo que resulta en la ejecución de ‘porsasystem[.]com/6m9x.js’, que luego lleva a ‘porsasystem[.]com/js.php’ para finalmente redirigir a las víctimas a páginas de estilo ClickFix para la distribución de malware.

Además, se ha detectado el uso de una herramienta llamada IUAM ClickFix Generator, que permite a los atacantes crear páginas de phishing personalizables que imitan los desafíos de verificación del navegador. Estas páginas también manipulan el portapapeles y detectan el sistema operativo para adaptar la secuencia de infección y servir malware compatible, como DeerStealer (para Windows) y Odyssey Stealer (para macOS).

Una variante más reciente de este ataque emplea ‘cache smuggling’ para ocultar la descarga de archivos maliciosos, almacenando datos arbitrarios en la caché del navegador. En este caso, la página de phishing se disfraza de un verificador de cumplimiento de VPN de Fortinet y utiliza tácticas de FileFix para engañar a los usuarios para que ejecuten un script de PowerShell que extrae un payload oculto como una imagen JPEG de la caché del navegador.

Para proteger los sitios de WordPress contra estas amenazas, es fundamental mantener actualizados los plugins, temas y software del sitio web, aplicar contraseñas seguras y escanear los sitios en busca de anomalías y cuentas de administrador inesperadas.

Fuente original: Ver aquí

Comparte esta Noticia:


Noticias Relacionadas

Nueva variante de ataque ClickFix utiliza scripts de Microsoft App-V para distribuir el malware Amatera

Se ha identificado una nueva campaña maliciosa que utiliza el método denominado ‘ClickFix’, en el cual se engaña a los usuarios mediante una verificación CAPTCHA falsa. En lugar de resolver un rompecabezas convencional, se instruye a la víctima para que copie y ejecute un comando manualmente en el cuadro de

Stanley: El nuevo servicio de malware que burla la seguridad de la Chrome Web Store

En INGENIERÍA TELEMÁTICA SAS nos mantenemos alerta ante las nuevas tácticas de los ciberdelincuentes. Recientemente, investigadores de seguridad han identificado un nuevo modelo de Malware-as-a-Service (MaaS) denominado ‘Stanley’. Este servicio se especializa en la creación y distribución de extensiones maliciosas diseñadas específicamente para evadir los filtros de seguridad de la

Más de 6.000 servidores SmarterMail en riesgo por vulnerabilidad de secuestro automatizado

Recientemente se ha alertado sobre una vulnerabilidad crítica identificada como CVE-2026-23760 que afecta a los servidores de correo SmarterMail. Esta falla de seguridad, clasificada como una derivación de autenticación (Authentication Bypass), permite a atacantes no autenticados secuestrar cuentas de administrador y ejecutar código de forma remota en los servidores afectados.

Desmantelan red criminal vinculada al Tren de Aragua por ataques de malware Ploutus

Un gran jurado federal en Nebraska ha presentado cargos contra 31 sospechosos adicionales involucrados en una sofisticada red de ataques a cajeros automáticos. La operación, presuntamente liderada por miembros de la organización criminal transnacional Tren de Aragua (TdA), utilizaba el malware Ploutus para extraer millones de dólares en efectivo de

Recapitulación semanal de ciberseguridad: Vulnerabilidad crítica en Fortinet, malware en Linux y riesgos en IA

El panorama actual de la ciberseguridad demuestra que la brecha entre una actualización rutinaria y un incidente grave es cada vez más estrecha. Durante esta semana, se ha reportado la explotación activa de la vulnerabilidad crítica CVE-2025-64155 en FortiSIEM de Fortinet. Este fallo permite a atacantes no autenticados ejecutar comandos

VoidLink: El sofisticado malware para Linux desarrollado con apoyo de Inteligencia Artificial

Recientes hallazgos de Check Point Research han revelado la existencia de VoidLink, un sofisticado framework de malware diseñado específicamente para obtener acceso persistente y sigiloso en entornos de nube basados en Linux. Lo que hace que este descubrimiento sea excepcional es la evidencia de que fue desarrollado predominantemente mediante el

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

  • Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.

  • Entienda las nuevas tácticas y tendencias del cibercrimen.

  • Gratuito, sin spam y con la confianza de Ingeniería Telemática.

Ingresa tus datos para Registrarte