La campaña maliciosa, descubierta por Sucuri, utiliza nombres de dominio clonados y técnicas de ocultación para burlar la detección y manipular resultados en buscadores

Un nuevo y sigiloso tipo de malware ha sido descubierto infiltrándose en sitios WordPress a través de un falso plugin que simula ser parte legítima del sitio afectado. El hallazgo, realizado por la analista de seguridad Kayleigh Martin del equipo de Sucuri, revela una elaborada estrategia para evadir tanto a los administradores humanos como a las herramientas de seguridad automatizadas.

La táctica se basa en camuflar el plugin malicioso con un nombre idéntico al del dominio infectado, creando una ruta que aparenta ser legítima, como por ejemplo:

wp-content/plugins/exampledomain-com/exampledomain-com.php

“Descubrimos un plugin cuidadosamente diseñado que se nombraba igual que el dominio infectado, lo que le ayudaba a pasar desapercibido”, explicó Martin en su análisis.

Spam SEO invisible para el usuario… pero no para los bots

El objetivo principal de los atacantes es manipular los resultados en motores de búsqueda sin alertar a los visitantes del sitio. La clave está en que el código malicioso se activa únicamente cuando detecta rastreadores de buscadores como Google o Bing. Mientras los usuarios normales ven el contenido habitual del sitio, los bots reciben spam encubierto, con enlaces a productos como Cialis u otros términos de dudosa reputación, aumentando así el posicionamiento del atacante y perjudicando la reputación del sitio web legítimo.

“Este comportamiento malicioso solo se activa ante bots, lo que le permite mantenerse oculto durante más tiempo”, añade el informe.

Código ofuscado y cargas remotas: las fases del ataque

El plugin PHP está profundamente ofuscado, dificultando el análisis estático. Se emplean miles de variables concatenadas que esconden su propósito real. El comportamiento malicioso sigue un proceso en cuatro fases:

1. Encabezado falso del plugin: simula ser legítimo, adoptando el nombre del dominio.
2. Cargador ofuscado: dispersa las variables para recomponerlas en tiempo de ejecución.
3. Lector de archivos remoto: recupera instrucciones desde un archivo externo (metainfo.jpg), que a su vez apunta a un dominio de control codificado en base64: mag1cw0rld[.]com.
4. Cloaking para buscadores: genera contenido spam a través del servidor remoto, visible solo para rastreadores, mientras que los usuarios humanos no perciben cambios.

Triple estrategia de evasión

Esta amenaza destaca por su enfoque de evasión en tres capas:

• Mimetismo del nombre del sitio para parecer un plugin personalizado.
• Ofuscación profunda del código para esquivar análisis estáticos.
• Encubrimiento del contenido malicioso, solo visible para bots, no para usuarios.

Estas técnicas combinadas dificultan seriamente la detección incluso para herramientas de seguridad avanzadas, especialmente si no realizan inspecciones en profundidad o análisis comportamentales.

Recomendaciones para administradores de sitios WordPress

Sucuri ha compartido una serie de medidas preventivas para reducir el riesgo ante este tipo de infecciones:

• Auditar regularmente los plugins y directorios de archivos, prestando atención especial a nombres similares al del dominio.
• Utilizar herramientas de escaneo de malware en el servidor que detecten técnicas de cloaking y ofuscación.
• Monitorizar patrones de tráfico, como actividad sospechosa de bots o picos anómalos en el SEO.
• Eliminar inmediatamente cualquier plugin desconocido y analizar posibles puertas traseras o restos del malware.

Este descubrimiento subraya la importancia de la vigilancia constante en entornos WordPress, ya que los atacantes continúan perfeccionando sus técnicas para evadir la detección y explotar vulnerabilidades con fines de manipulación y fraude.

vía: securityonline