Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4836
)
-
▼
junio
(Total:
453
)
-
Google Home se renueva con 4 funciones clave
-
Palworld amenaza a Nintendo
-
Streaming de video en ASCII
-
Intel recicla Raptor Lake Next
-
OpenAI acusa a China de desprestigio con datos reales
-
Google enseñará a su IA a dudar para evitar errores
-
Copilot+ de Windows 11 ya funciona con GPU NVIDIA
-
Steam quita tarjetas físicas por estafas
-
Pad térmico con grafeno y cobre diseñado para baja...
-
Un mapa de las ciudades y pueblos más brillantes y...
-
Google Earth ya tiene simulador de vuelo online
-
El FBI desmantela una red masiva de phishing basad...
-
Claude para Windows agota la RAM
-
Todo sobre Claude Fable 5
-
Ataques de Agentjacking engañan a agentes de IA pa...
-
Gobierno Estados Unidos bloquea acceso a Anthropic...
-
Grave vulnerabilidad en Splunk Enterprise permite ...
-
AMD sucumbe a la presión mediática: acepta la gara...
-
BugHunter: Kit de Bug Bounty con Claude e IA gratuita
-
ChatGPT gratis y offline en tu PC o Mac con LMStudio
-
Requisito para las nuevas funciones de IA en Windo...
-
Hackers vinculados a China comprometieron software...
-
ChatGPT falla en crisis
-
China advierte el riesgo real de la IA
-
OpenAI lanza la función más esperada de Codex
-
Cadena de vulnerabilidad crítica en LangGraph perm...
-
Más de 400 paquetes de AUR en Arch Linux compromet...
-
Edge acelera actualizaciones: pros y contras
-
EEUU prohíbe IA a extranjeros
-
phpBB soluciona un fallo de salto de autenticación...
-
Apple ignoró adaptar Siri AI a Europa
-
Google demanda a red china de ciberdelincuencia po...
-
La Inteligencia Artificial agéntica cambia el merc...
-
Trump Mobile T1 es un teléfono chino dorado
-
El gigante farmacéutico Novo Nordisk admite filtra...
-
Operativo de INTERPOL desmantela plataforma de phi...
-
Las 15 CPU más vendidas en Amazon para este 2026 s...
-
GoFlateLoader usa superposición PE masiva para dis...
-
OpenAI bajará precios para competir con Anthropic
-
Usan proxies residenciales para ocultar actividad ...
-
Oracle soluciona vulnerabilidad zero-day de People...
-
ShinyHunters vulnera universidades mediante exploi...
-
Distribuciones de Linux menos conocidas
-
YouTube recupera los mensajes privados
-
Cuidado con vídeos para activar Windows y Office, ...
-
Google será responsable de los errores de su IA
-
Guía del Abandonware: qué es y dónde descargarlo
-
Usan AWS y Google Cloud para evadir detección y fi...
-
Vulnerabilidad crítica de Langflow permite ejecuta...
-
Actualización crítica de seguridad de Oracle para ...
-
Cómo solucionar el Error 1076 en Gemini
-
ReactOS ya puede ejecutar Half-Life
-
Vulnerabilidad en Teams para Android permite filtr...
-
Un YouTuber demandará a Samsung por no reemplazarl...
-
Europol desmantela AudiA6, el servicio de lavado d...
-
Claude 3.5: potencial oculto e inteligencia divina
-
Si vives en Estados Unidos, el PC te puede salvar ...
-
Hackean Claude Fable 5 en tiempo récord
-
CISA exige a agencias federales parchear vulnerabi...
-
Xbox se reinicia
-
Lisa Su advierte sobre las limitaciones de la IA
-
Investigador hackeó Google con IA y ganó 500.000 d...
-
Explotan 0-day de GreatXML para saltar BitLocker v...
-
OpenAI baja precios para ganar usuarios de Claude
-
Llega propuesta de IPv8
-
Windows 95 en una calculadora tarda 7 minutos en a...
-
Samsung lanza Photo Prado: arte con IA
-
WhatsApp programará mensajes
-
Claude Mythos reduce días N a horas N creando expl...
-
GPT 5.6 llega este mes para superar a Gemini y Claude
-
Microsoft defiende la IA tras abucheos
-
Google rediseña sus chips de IA con Samsung e Intel
-
IA en el panel de KDE Plasma
-
Lenovo prepara otra subida de precios: sus PC serí...
-
DiffusionGemma: la IA de Google que prioriza la ve...
-
Vulnerabilidad de salto de directorio en Langflow,...
-
Estados Unidos quiere acabar con el anonimato de l...
-
Cómo detectar apps que ralentizan tu internet con ...
-
Empresas vuelven a contratar tras fallar la IA
-
Lanzan PoC de vulnerabilidad de escape de invitado...
-
Vulnerabilidad en Ivanti Endpoint Manager Mobile p...
-
Alerta sobre robos de WhatsApp por Ghostpairing
-
Samsung lleva los centros de datos de IA al mar
-
Otro colegio británico cierra sus puertas tras un ...
-
Google urge actualizar Android Auto por fallo crítico
-
Vulnerabilidades en Splunk Enterprise permiten eje...
-
CISA incluye vulnerabilidades de Cisco, Chrome y A...
-
GitHub desactivará los scripts de instalación de n...
-
Usan falsas utilidades para instalar ScreenConnect...
-
Claude 3.5 de Anthropic vulnerado para generar exp...
-
AMD EPYC Venice superaría por 3,3x a NVIDIA Vera p...
-
EE UU vigila a gigantes chinos
-
Nueva estrategia que usan para infectar por Instag...
-
Filtración de datos en la Universidad de Nottingha...
-
IA salvará drivers AMD Legacy en Linux
-
Botnet JDY vinculada a China amplía sus ataques co...
-
Sfdx Show: su invento hace explotar su PC
-
CEO de NVIDIA prevé crisis de RAM prolongada
-
Anthropic pide pausar la IA mundialmente
-
AMD cree que el precio de la RAM DDR5 volverá a pr...
-
SAP corrige vulnerabilidades críticas en NetWeaver...
-
Malware NFC imita apps bancarias en Android
-
Registros de Microsoft Entra revelan actividad sos...
-
Hackers pro-Corea del Norte infectan desarrollador...
-
Frost permite rastrear webs y apps vía SSD Timing
-
CISA advierte de vulnerabilidad 0-day en Google Ch...
-
Mercado tecnológico español crecerá hasta 13.200 m...
-
Ivanti, Fortinet y SAP lanzan actualizaciones para...
-
Microsoft busca identidad propia para sus agentes ...
-
Agente de IA OpenClaw filtra credenciales en simul...
-
Google presenta IA gratuita y más rápida que ChatGPT
-
Vulnerabilidades de RDP de Windows permiten expone...
-
Vulnerabilidad crítica de Veeam permite ataques RC...
-
Meta aprovechará datos comerciales externos para p...
-
Windows 11: claves de arranque seguro el 24 de junio
-
Ubuntu MATE regresará en Ubuntu 26.10
-
Gemini 3.5: el traductor universal en tiempo real
-
Claude duplica sus límites temporalmente
-
iOS 27 de Apple implementa inteligencia agente par...
-
Vulnerabilidades críticas de OpenSSL permiten ejec...
-
aMule 3.0.0 regresa con descargas 400 veces más rá...
-
Musk planea centros de datos IA espaciales
-
Anthropic lanza Claude Fable 5, el primer modelo d...
-
Claude Fable y Mythos 5 superan a GPT 5.5
-
Alerta global por el potencial del dron egipcio Ja...
-
Satélites rusos podrían interferir el GPS europeo
-
La iGPU Intel Graphics 2 Xe3 que se encuentra en C...
-
GitHub desactiva la ejecución automática de script...
-
-
▼
junio
(Total:
453
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
AMD rediseñó el Ryzen 7 5800X3D para su regreso a AM4, integrando una segunda generación de 3D V-Cache debido a complicaciones en la fabri... -
Guía para crear un ChatGPT de código abierto que funcione de forma gratuita, local y sin internet en PC o Mac para evitar restricciones de... -
IPTV-org ofrece una lista IPTV con más de 42.000 canales de televisión gratuitos de todo el mundo, incluyendo noticias, deportes, docume...
Malware de WordPress usa perfiles de Steam para operaciones C2
Se ha detectado una nueva campaña de malware dirigida a sitios web de WordPress. Los atacantes utilizan un método innovador para comunicarse con los sitios infectados, ocultando las instrucciones de comando dentro de los comentarios de los perfiles de la Comunidad de Steam, transformando así una plataforma de videojuegos popular en un canal de control encubierto.
Una campaña de malware recién descubierta que tiene como objetivo los sitios web de WordPress ha generado serias preocupaciones en toda la comunidad de seguridad web.
Los atacantes detrás de esta campaña están utilizando un método inesperado para comunicarse con los sitios infectados, ocultando instrucciones de comando dentro de los comentarios de los perfiles de la Comunidad de Steam y convirtiendo una popular plataforma de juegos en un canal de control encubierto.
El malware funciona en dos etapas. Primero, inyecta JavaScript malicioso en el front-end de un sitio web de WordPress comprometido, sirviendo contenido dañino a cada visitante que llega a la página.
Segundo, planta una puerta trasera (backdoor) en el servidor que otorga a los atacantes un acceso remoto persistente, permitiéndoles modificar los archivos de temas y plugins de WordPress sin dejar rastro visible de la intrusión.
Investigadores de seguridad de GoDaddy identificaron esta campaña, señalando que fue detectada por primera vez en julio de 2024 y, desde entonces, se ha encontrado en aproximadamente 1,900 sitios de WordPress.
GoDaddy afirmó en un informe compartido con Cyber Security News (CSN) que los actores de amenazas están disfrazando deliberadamente su infraestructura detrás de la plataforma de juegos confiable de Valve, en lugar de mantener servidores obviamente maliciosos que podrían ser marcados y eliminados rápidamente.
Lo que hace que esta campaña sea particularmente difícil de detectar es cómo el malware oculta sus cargas útiles (payloads). Utiliza caracteres Unicode invisibles, una técnica conocida como esteganografía, para codificar datos maliciosos dentro del texto de los comentarios de los perfiles de Steam.
Dado que esos caracteres ocultos parecen texto completamente normal a simple vista, es mucho menos probable que las herramientas tradicionales de escaneo basadas en texto los detecten durante las revisiones rutinarias.
.webp)
El alcance de esta campaña es significativo. Los sitios web comprometidos sirven scripts inyectados a cada visitante sin saberlo, exponiendo a los usuarios reales a daños potenciales. Para los propietarios de los sitios, el daño es más profundo, ya que la puerta trasera otorga a los atacantes la capacidad de reescribir el código del sitio incluso después de intentos de limpieza parcial.
El malware de WordPress abusa de los perfiles de la Comunidad de Steam
El núcleo de este ataque se basa en una función PHP integrada dentro de la instalación de WordPress comprometida.
Cuando se carga cualquier página del sitio infectado, el malware envía una solicitud HTTP a una página de perfil de la Comunidad de Steam utilizando cURL, extrae el texto de los comentarios de ese perfil y decodifica las cargas útiles ocultas insertadas en él.
Se ha observado que el malware obtiene perfiles como steamcommunity.com/profiles/76561199096946028 y almacena el contenido extraído utilizando transitorios de WordPress con una ventana de expiración de cinco minutos.
![Resultados de PublicWWW que muestran sitios web cargando hello-myworld[.]info (Fuente - GoDaddy)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjH2SZ8NWQlw-4NVtrB54di88HVt-KvflUQEyvVKfXx_ItznOSi_pczAZ5wcTPnE6A4sdghLZ9HH_YWR-mzinryUZKNrBvvZ7vvOpQTJwtYkPHBDU8QwHJH0fPFOh9AYbJgOYiVDIWa0AHSuEgRysap1Jkh9i1UcuD-emg_TPwTYQNOSC1nMCSgK6pWJWo/w640-h502/PublicWWW%20results%20showing%20websites%20loading%20hello-mywordl%5B.%5Dinfo%20(Source%20-%20GoDaddy).webp)
Los datos decodificados se convierten en una URL de JavaScript inyectada en cada página del front-end a través del hook wp_enqueue_script, bajo el nombre engañoso de “asahi-jquery-min-bundle”, diseñado para imitar una librería legítima.
La URL externa decodificada observada durante el análisis apuntaba a hello-myworld[.]info, que sirve la carga útil final de JavaScript malicioso a los visitantes del sitio.
Puerta trasera sigilosa permite la ejecución remota de código
El componente del lado del servidor es tan peligroso como la inyección en el front-end. Una función de puerta trasera registrada a través del hook template_redirect de WordPress escucha solicitudes POST que contienen cookies de autenticación específicas.
Cuando esas cookies están presentes, la puerta trasera confirma que está activa devolviendo una cadena de versión, o acepta código PHP codificado en base64 y reescribe los archivos de plugins y temas en toda la instalación de WordPress.
Esta capacidad de ejecución remota de código significa que, aunque elimines parte de la infección, los atacantes pueden reinstalar el código borrado a través de la puerta trasera que sigue activa.
El malware protege este canal utilizando cifrado AES-256-CTR con derivación de claves PBKDF2 basada en SHA-512 y 10,000 iteraciones, junto con autenticación HMAC-SHA256 para verificar cada carga útil entrante.
Para evadir la detección, el malware aplica múltiples capas de técnicas de ofuscación. Todas las constantes de cadena están codificadas mediante secuencias de escape octales o hexadecimales, los nombres de funciones y variables siguen un estilo hexadecimal aleatorio de mayúsculas y minúsculas mixtas, y una función de registro desactivada está dispersa por el código para imitar una infraestructura de depuración legítima sin llegar a ejecutarse nunca.
Si sospechas que tu sitio está infectado, debes activar el modo de mantenimiento inmediatamente y hacer una copia de seguridad de la instalación comprometida antes de realizar cualquier cambio.
Debes renovar todas las credenciales de WordPress, incluidas las contraseñas de administrador, el acceso a la base de datos, las credenciales FTP y las claves SSH. La limpieza debe cubrir cada archivo de plugin y tema, ya que la eliminación parcial no es suficiente dada la capacidad de la puerta trasera para restaurar remotamente el código eliminado.
Debes eliminar las entradas sospechosas de caché transitoria con el prefijo transient_caption y los scripts externos encolados que apunten a dominios desconocidos.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| URL | https://steamcommunity.com/profiles/76561199096946028/ | Perfil de Steam utilizado para alojar cargas útiles C2 codificadas |
| URL | https://steamcommunity.com/id/ravypadliha | Perfil de Steam observado durante la obtención del malware |
| URL | https://steamcommunity.com/id/enomisvool123/ | Perfil de Steam observado durante la obtención del malware |
| URL | https://steamcommunity.com/id/eremohnf342 | Perfil de Steam observado durante la obtención del malware |
| Dominio | hello-myworld[.]info | Dominio externo que sirve la carga útil de JavaScript malicioso decodificada |
| Nombre de Cookie | DEpjndDbNc | Cookie de autenticación utilizada para activar la respuesta de ping/keepalive de la puerta trasera |
| Nombre de Cookie | tEcaKKXEsb | Cookie de autenticación utilizada para activar la ejecución remota de código a través de la puerta trasera |
| Ruta de Archivo | /wp-content/themes/gt3-child/functions.php | Ruta del archivo donde se descubrió inicialmente el malware |
| Nombre de Handle | asahi-jquery-min-bundle | Nombre engañoso del handle del script utilizado para inyectar JavaScript malicioso |
| Prefijo Transitorio | transient_caption | Prefijo de caché transitoria de WordPress utilizado para almacenar datos de C2 |
| Nombre de Función | Ce8d26cADf211699 | Función PHP responsable de obtener el contenido del perfil de Steam |
| Nombre de Función | EdF20922Ff709e68 | Función PHP que realiza la decodificación criptográfica de las cargas útiles |
| Nombre de Función | G7jp2L84mnVc4LNW9wcbZcaVFAyC9N72 | Función PHP que inyecta el script decodificado en el front-end de WordPress |
| Nombre de Función | mpzZYIbGOb | Función manejadora de la puerta trasera PHP registrada a través de template_redirect |
Nota: Las direcciones IP y los dominios están intencionadamente desactivados (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/wordpress-malware-abuses-steam/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.