- Rapid7 descubre una campaña de secuestro de WordPress a gran escala
- El CAPTCHA falso de Cloudflare engaña a los visitantes para que ejecuten malware
- Más de 250 sitios web comprometidos, incluida la página de un candidato al Senado de EE. UU.
Los ciberdelincuentes están secuestrando sitios vulnerables de WordPress a diestra y siniestra y convirtiéndolos en plataformas de lanzamiento para malware implementación, advirtieron los expertos.
Los investigadores de seguridad Rapid7 afirman haber detectado una campaña en curso, automatizada y a gran escala que incluso afectó a un candidato no identificado al Senado de los Estados Unidos.
Según los investigadores, los delincuentes primero escanean la web en busca de sitios vulnerables de WordPress. Podría haber una multitud de cosas, desde credenciales de inicio de sesión de administrador predeterminadas o incorrectas hasta temas y Complementos de WordPress y se utilizan soluciones de explotación ampliamente disponibles para obtener acceso inicial.
El artículo continúa a continuación.
Implementar un ladrón de información
La campaña probablemente comenzó en diciembre de 2025 y hasta ahora ha afectado a más de 250 sitios web en todo el mundo.
Una vez dentro, los bandidos harían todo lo posible para no dar la alarma. De hecho, no se cambia nada en el sitio; lo único que hacen es agregar un CAPTCHA falso de Cloudflare en la primera visita. Esta es una práctica tan común hoy en día que la mayoría de las personas no lo piensan dos veces, simplemente completan el rompecabezas, confirman que no son un robot y continúan con su día.
Pero la forma en que se les pide a los usuarios que resuelvan el CAPTCHA debería ser una gran señal de alerta. En lugar de hacer clic en un cuadro o deslizar un control deslizante, se les pide que copie y pegue un comando en Windows Ejecutar, al estilo clásico de ClickFix.
Entonces, en lugar de demostrar que son humanos, los propios visitantes terminan descargando y ejecutando malware. En este caso, un ladrón de información diseñado para extraer credenciales de inicio de sesión, cookies de autenticación, información de billeteras de criptomonedas y otros datos confidenciales.
Rapid7 dice que es probable que la campaña esté altamente automatizada y no esté dirigida a ninguna industria específica. Entre los casos confirmados se encuentran medios de comunicación regionales, sitios web de pequeñas empresas e incluso la página oficial de un candidato al Senado de Estados Unidos.
“La ejecución a gran escala del compromiso en instancias de WordPress completamente ajenas sugiere un alto nivel de automatización por parte del actor de la amenaza y probablemente sea parte de un esfuerzo criminal organizado a largo plazo”, dijo Rapid7 en su informe.
A través de El récord
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
