Nuevo malware de WordPress se oculta en las páginas de pago e imita a Cloudflare

Investigadores de ciberseguridad han descubierto una campaña de malware muy avanzada dirigida a sitios web de WordPress , capaz de robar detalles de tarjetas de crédito, inicios de sesión de usuarios e incluso elaborar perfiles de las víctimas.

Descubierto el 16 de mayo de 2025 por el Equipo de Inteligencia de Amenazas de Wordfence, este malware se presenta como un plugin engañoso de WordPress y utiliza métodos de antidetección nunca antes vistos. Una táctica particularmente innovadora consiste en alojar un sistema de gestión en vivo directamente en los sitios web infectados, lo que dificulta su detección.

Esta sofisticada operación ha estado activa desde al menos septiembre de 2023, según revela la publicación oficial del blog de Wordfence. Los investigadores analizaron más de 20 muestras del malware y revelaron características comunes en todas las versiones, como la codificación de código, técnicas para evitar el análisis y métodos para detectar herramientas de desarrollo.

Por ejemplo, el malware evita astutamente ejecutarse en las páginas de administrador para permanecer oculto y solo se activa en las pantallas de pago. Las versiones más recientes incluso crean formularios de pago falsos e imitan las comprobaciones de seguridad de Cloudflare para engañar a los usuarios. La información robada suele enviarse camuflada en direcciones web de imágenes.

Además de robar información de pago, los investigadores encontraron otras tres versiones de este malware, cada una con objetivos diferentes. Una versión alteraba Google Ads para mostrar anuncios falsos a usuarios móviles. Otra estaba diseñada para robar datos de inicio de sesión de WordPress .

Una tercera versión propaga más malware modificando enlaces legítimos de sitios web por enlaces maliciosos. A pesar de estas funciones variadas, el núcleo del software se mantuvo constante, adaptando sus características a cada ataque específico. Algunas versiones incluso utilizaban la aplicación de mensajería Telegram para enviar datos robados en tiempo real y rastrear las acciones de los usuarios.

Una muestra inspeccionada también incluía un desafío de verificación humana falso sorprendentemente completo, inyectado dinámicamente en pantalla completa y multilingüe, con la intención de engañar al usuario y de filtrar bots. Esto incluye funciones increíblemente avanzadas contra malware, como texto localizado en varios idiomas, compatibilidad con CSS para idiomas RTL y modo oscuro, elementos interactivos como animaciones y SVG giratorios, y una suplantación de la marca Cloudflare, lo que revela una complejidad rara vez vista.

Paolo Tresso – Wordfence

Un descubrimiento clave fue un plugin falso de WordPress llamado WordPress Core . Aunque aparentemente inofensivo, contenía código JavaScript oculto para skimming y scripts PHP que permitían a los atacantes gestionar los datos robados directamente desde el sitio web comprometido.

Este plugin fraudulento también utilizaba funciones específicas de WooCommerce, una popular plataforma de comercio electrónico, para marcar los pedidos fraudulentos como completados, lo que retrasaba la detección. Su sistema de gestión oculto almacena los datos de pago robados directamente en WordPress, categorizados en una sección personalizada de "mensajes".

Para protegerse contra esta amenaza, los administradores de sitios web deben buscar indicios de vulnerabilidad, incluyendo nombres de dominio específicos vinculados a los atacantes, como api-service-188910982.website y graphiccloudcontent.com . Wordfence ya publicó firmas de detección de este malware entre el 17 de mayo y el 15 de junio de 2025 para sus usuarios premium, y los usuarios gratuitos las recibirán tras un plazo estándar de 30 días.