Meta News

A través del Lente de la MDR: Análisis del Abuso de Sitios WordPress Comprometidos por KongTuke con ClickFix

ARCHIVO Esta noticia se muestra como archivo por su antigüedad y puede no reflejar el estado actual de los hechos.

Resumen: La investigación de Trend Micro describe cómo el grupo de amenazas KongTuke continúa utilizando sitios web WordPress comprometidos y falsos prompts CAPTCHA engañosos para desplegar modeloRAT, un malware en múltiples fases.

Nuestro análisis de una campaña activa de KongTuke que utiliza modeloRAT —un malware capaz de reconocimiento, ejecución de comandos y acceso persistente— a través de sitios web WordPress comprometidos y falsos prompts CAPTCHA engañosos muestra que el grupo aún opera esta cadena de entrega en paralelo con la nueva técnica CrashFix. El ataque se apoya en gran medida en herramientas legítimas del sistema y servicios confiables para evitar la detección, utilizando componentes como PowerShell, finger.exe, archivos alojados en Dropbox y entornos Python portátiles. El malware puede ejecutar comandos de forma remota, mantener el acceso persistente y permanecer activo en sistemas comprometidos mientras deja rastros mínimos e invisibles.

Datos clave

  • El grupo de amenazas KongTuke continúa utilizando sitios web WordPress comprometidos y falsos prompts CAPTCHA engañosos para entregar modeloRAT.
  • modeloRAT es un malware en múltiples fases capaz de reconocimiento, ejecución de comandos y acceso persistente.
  • Los atacantes inyectan JavaScript malicioso en sitios web WordPress legítimos, provocando a los usuarios que ejecute un comando PowerShell que desencadene un proceso de infección en múltiples fases.
  • Aunque el ataque se apoya en herramientas legítimas del sistema y servicios confiables para evadir la detección, puede ejecutar comandos de forma remota, mantener el acceso persistente e permanecer activo en sistemas comprometidos.

¿Por qué importa?

Esta campaña representa una amenaza significativa para las organizaciones cuyos usuarios naveguen sitios web comprometidos o encuentren prompts que les pidan ejecutar comandos. Destaca la sofisticación en creciente nivel de los actores de amenazas en su uso de métodos aparentemente legítimos para evadir la detección y obtener acceso persistente a redes corporativas.

X profile@trendaisecurityhttps://x.com/trendaisecurity
Contenido embebido de: A través del Lente de la MDR: Análisis del Abuso de Sitios WordPress Comprometidos por KongTuke con ClickFix
Etiquetas:
cybersecurity malware KongTuke modeloRAT WordPress CAPTCHA

Detalles estructurados

  • Industria: cybersecurity
  • Tipo de fuente: media
  • Estado de la afirmación: confirmed
  • Verificación: claimed_by_source
  • Entidades: Investigación de Trend Micro, KongTuke, modeloRAT, CrashFix, PowerShell, finger.exe, Dropbox, Python

Fuente: https://www.trendmicro.com/en_us/research/26/c/kongtuke-clickfix-abuse-of-compromised-wordpress-sites.html

Publicado el