Meta News

A través del Lente de la MDR: Análisis del Abuso de Sitios WordPress Comprometidos por KongTuke con ClickFix

Summary: La investigación de Trend Micro describe cómo el grupo de amenazas KongTuke continúa utilizando sitios web WordPress comprometidos y falsos prompts CAPTCHA engañosos para desplegar modeloRAT, un malware en múltiples fases.

Nuestro análisis de una campaña activa de KongTuke que utiliza modeloRAT —un malware capaz de reconocimiento, ejecución de comandos y acceso persistente— a través de sitios web WordPress comprometidos y falsos prompts CAPTCHA engañosos muestra que el grupo aún opera esta cadena de entrega en paralelo con la nueva técnica CrashFix. El ataque se apoya en gran medida en herramientas legítimas del sistema y servicios confiables para evitar la detección, utilizando componentes como PowerShell, finger.exe, archivos alojados en Dropbox y entornos Python portátiles. El malware puede ejecutar comandos de forma remota, mantener el acceso persistente y permanecer activo en sistemas comprometidos mientras deja rastros mínimos e invisibles.

Key facts

  • El grupo de amenazas KongTuke continúa utilizando sitios web WordPress comprometidos y falsos prompts CAPTCHA engañosos para entregar modeloRAT.
  • modeloRAT es un malware en múltiples fases capaz de reconocimiento, ejecución de comandos y acceso persistente.
  • Los atacantes inyectan JavaScript malicioso en sitios web WordPress legítimos, provocando a los usuarios que ejecute un comando PowerShell que desencadene un proceso de infección en múltiples fases.
  • Aunque el ataque se apoya en herramientas legítimas del sistema y servicios confiables para evadir la detección, puede ejecutar comandos de forma remota, mantener el acceso persistente e permanecer activo en sistemas comprometidos.

Why it matters

Esta campaña representa una amenaza significativa para las organizaciones cuyos usuarios naveguen sitios web comprometidos o encuentren prompts que les pidan ejecutar comandos. Destaca la sofisticación en creciente nivel de los actores de amenazas en su uso de métodos aparentemente legítimos para evadir la detección y obtener acceso persistente a redes corporativas.

X profile@trendaisecurityhttps://x.com/trendaisecurity
Embedded content for: A través del Lente de la MDR: Análisis del Abuso de Sitios WordPress Comprometidos por KongTuke con ClickFix
Tags:
cybersecurity malware KongTuke modeloRAT WordPress CAPTCHA

Structured details

  • Industry: cybersecurity
  • Source type: media
  • Claim status: confirmed
  • Verification: claimed_by_source
  • Entities: Investigación de Trend Micro, KongTuke, modeloRAT, CrashFix, PowerShell, finger.exe, Dropbox, Python

Source: https://www.trendmicro.com/en_us/research/26/c/kongtuke-clickfix-abuse-of-compromised-wordpress-sites.html

Published on