Plugin de WordPress malicioso oculta esquiadores de tarjetas de crédito en falsos archivos PNG
Malware de WordPress puesta al descubierto
El equipo de Zonsai ha descubierto una avanzada campaña de malware que está atacando a sitios de comercio electrónico basados en WordPress, con especial atención a aquellos que utilizan el plugin WooCommerce. Este malware no es cualquier cosa: cuenta con funciones avanzadas que incluyen métodos de cifrado personalizados, imágenes falsas que ocultan cargas maliciosas, y una sólida capa de persistencia que permite a los atacantes desplegar código adicional en demanda, todo en forma de un plugin de WordPress fraudulento.
Este ejemplo de malware fue compartido con nosotros por un usuario de Zonsai y desde entonces hemos implementado varias firmas de detección en nuestra plataforma. A partir del 27 de agosto hasta el 9 de septiembre de 2025, nuestros clientes de Zonsai Premium y Care ya contaron con las firmas de detección, mientras que los usuarios de la versión gratuita las recibirán después del retraso habitual de 30 días.
Análisis del malware
Este malware se presenta como un plugin de WordPress malicioso que consta de varios archivos PHP y PNG. Los nombres del directorio del plugin y del archivo principal son generados aleatoriamente y suelen llamarse algo así como “license-user-kit”. Algunas de las variantes identificadas incluyen:
- jwt-log-pro
- cron-environment-advanced
- json-task-basic
- access-access-pro
- share-seo-assistant
Los nombres de funciones y variables en PHP son también generados aleatoriamente, y la mayoría de los textos están ofuscados mediante una función común que requiere una clave compartida, logrando así evadir las detecciones más básicas.
Intercepción de credenciales de inicio de sesión
Una de las características más preocupantes de este malware es su proceso de exfiltración de credenciales. Captura nombres de usuario y contraseñas cuando un usuario intenta iniciar sesión, utilizando cookies para almacenarlas. Luego, cuando se produce el inicio de sesión, exfiltra esas credenciales junto con datos del usuario y del sitio web, lo que representa un grave riesgo para la seguridad.
Acceso a través de backdoors AJAX
El malware también establece un backdoor usando dos puntos de acceso basados en AJAX que evaden la autenticación nativa de WordPress. Esto permite al atacante actualizar la carga del skimmer de tarjetas de crédito y ejecutar código PHP arbitrario, así como cargar nuevas versiones del malware o inyectar código específico para cada víctima.
Skimming de tarjetas de crédito
La funcionalidad de skimming es particularmente sofisticada. El malware intercepta las páginas de pago de WooCommerce y a través de cargas JavaScript ocultas en imágenes PNG falsas, roba la información de las tarjetas de crédito de los usuarios durante el proceso de pago. Estas imágenes se representan con encabezados de archivo PNG falsos y un código JavaScript revertido y codificado altamente ofuscado.
Al activar la funcionalidad de skimming, el malware utiliza eventos de JavaScript para interceptar la información sensible introducida por los usuarios y la envía de vuelta al servidor del atacante utilizando solicitudes AJAX. En caso de que este método falle, también incorpora métodos adicionales de envío como correos electrónicos o el uso de cURL a través de la línea de comandos del sistema.
Posibles Indicadores de Compromiso (IoC)
| Tipo | Valor | Notas |
|---|---|---|
| Cookie | pxcelPage_c01002 | Seguimiento de usuario |
| Cookie | wp_tdata | Credenciales de WP robadas |
| Cookie | _wdata | Datos de pago robados |
| Opción de base de datos | wp_user_[md5(IP)] | Seguimiento de usuario |
| Solicitud de C&C | hxxps://badping[.]info/SMILODON/index_b.php?view= | Exfiltración de credenciales WP |
| Solicitud de C&C | hxxps://checkerror[.]info/wp/widget_bad64.txt | Actualización de carga JavaScript |
| Solicitud de C&C | hxxps://geterror[.]info/SMILODON/index.php?view= | Exfiltración de datos de pago |
| Correo | to.duraku@rambler[.]ru | Exfiltración de datos de checkout |
Conclusión
Este análisis ha expuesto unos de los ataques más sofisticados que hemos visto en el mundo del comercio electrónico en WordPress. El malware no solo se camufla excelentemente como un plugin legítimo, sino que también implementa técnicas avanzadas de evasión y un entorno de skimming capaz de superar incluso las defensas más alertas.
Es crucial que los dueños de tiendas en línea se mantengan alerta y entiendan estos vectores de ataque para poder implementar estrategias de defensa sólidas. En Zonsai, estamos comprometidos a fortalecer la seguridad en la web y, si descubres algo sospechoso en tu sitio, no dudes en informárnoslo. Juntos, combatimos estas amenazas y garantizamos un entorno más seguro para todos.
Puedes consultar el artículo original aquí: https://www.wordfence.com/blog/2025/10/rogue-wordpress-plugin-conceals-multi-tiered-credit-card-skimmers-in-fake-png-files/
Este contenido ha sido generado automáticamente con el plugin Autoblog AI. Desarrollado por Zonsai.
