El plugin recrea y reactiva el malware automáticamente en la próxima visita al sitio
Investigadores de ciberseguridad han arrojado luz sobre una nueva campaña dirigida a sitios de WordPress que disfraza el malware como un plugin de seguridad.
El plugin, que lleva el nombre "WP-antymalwary-bot.php", viene con una variedad de características para mantener el acceso, ocultarse del panel de administración y ejecutar código remoto.
"También se incluye una funcionalidad de ping que puede informar a un servidor de comando y control (C&C), así como un código que ayuda a propagar malware en otros directorios e inyectar JavaScript malicioso responsable de mostrar anuncios", dijo en un informe Marco Wotschka de Wordfence.
Descubierto por primera vez durante una limpieza de sitios web a finales de enero de 2025, el malware se ha detectado desde entonces en la red con nuevas variantes. Algunos de los otros nombres utilizados para el complemento se enumeran a continuación:
• addons.php
• wpconsole.php
• wp-performance-booster.php
• scr.php
Una vez instalado y activado, proporciona a los actores de amenazas acceso de administrador al panel de control y hace uso de la API REST para facilitar la ejecución remota de código inyectando código PHP malicioso en el archivo de encabezado del tema del sitio o borrando los cachés de los plugins de almacenamiento en caché más populares.
Una nueva iteración del malware incluye notables cambios en la forma en que se manejan las inyecciones de código, obteniendo código JavaScript alojado en otro dominio comprometido para publicar anuncios o spam.
El plugin también se complementa con un archivo wp-cron.php malicioso, que recrea y reactiva el malware automáticamente en la próxima visita al sitio en caso de que se elimine del directorio de plugins.
Actualmente no está claro cómo se vulneran los sitios para distribuir el malware ni quién está detrás de la campaña. Sin embargo, la presencia de comentarios y mensajes en ruso probablemente indica que los actores de la amenaza hablan ruso.
