Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4520
)
-
▼
June
(Total:
137
)
-
Microsoft trae Coreutils de Linux a Windows
-
El grupo Gentlemen Ransomware usa exploits de Fort...
-
Nueva vulnerabilidad de Google Gemini explotada ví...
-
Prohibido volar drones en Madrid este fin de seman...
-
Phison SSD PCIe 5.0: una velocidad de hasta 14,9 G...
-
Robot militar con láser abate drones a 3 km
-
Robotaxis llegan a Madrid
-
Windows elimina su protocolo de seguridad más antiguo
-
Gemma 4 ya funciona en portátiles con 16 GB de RAM
-
Gran actualización del mejor emulador de PS4
-
Bots superan a humanos en tráfico web mundial por ...
-
Microsoft lanza Scout, el agente de IA para Teams ...
-
Nuevo ataque DoS 'HTTP/2 Bomb' tumba servidores we...
-
Copilot: ¿el fin de la IA barata?
-
Copilot Scout será el nuevo agente activo de Windo...
-
AMD en Computex 2026: novedades en Ryzen y Radeon
-
Gravity Circuit y más juegos gratis para Linux
-
NVIDIA avisa: «Con RTX Spark reinventarnos el PC t...
-
Microsoft lanza Surface RTX Spark para desarrollad...
-
Atacante usa claves de API de Gemini para automati...
-
Acer corrige vulnerabilidad 0-day en router Wave 7
-
Clientes de Github Copilot reportan aumentos de pr...
-
Malware de WordPress usa perfiles de Steam para op...
-
Más de 116.000 sistemas de Minecraft afectados por...
-
UE recomienda prohibir Huawei frente al rechazo de...
-
Google implementa protección en Android contra est...
-
Surface Laptop Ultra: el mejor portátil jamás fabr...
-
Criminal torpe rompe la regla de oro del ransomware
-
Proton Mail ya es compatible con Gmail
-
Amazon crea productos ficticios con IA
-
El software abandonado que sostiene el mundo
-
Perros robot vigilarán el Mundial 2026
-
ONLYOFFICE 9.4 mejora formularios, presentaciones ...
-
Vulnerabilidad en GitHub permite robar tokens OAut...
-
Gemini lanza nuevo modo gratuito para todos
-
Weedhack ataca a usuarios de Minecraft, CountLoade...
-
Meta lanza agente de IA para impulsar ventas en In...
-
Kit de ransomware creado con IA automatiza la evas...
-
Vulnerabilidad en plugin de WordPress Kirki expone...
-
Una RX 9060 XT consigue el segundo lugar en la cla...
-
Los salarios de Nvidia al descubierto: así paga el...
-
Cinco 0-days de OpenClaw permiten secuestrar agent...
-
Filtrados precios de algunos modelos NVIDIA RTX S...
-
Google permitirá excluir webs de sus resúmenes de IA
-
Otro experto en seguridad filtra exploits de Micro...
-
CachyOS: rendimiento, estabilidad y seguridad
-
Microsoft pone fecha a su ordenador cuántico práct...
-
Project Solara: la IA de Microsoft en Android
-
IA de OpenAI resuelve problema matemático de 80 años
-
Vulnerabilidad crítica en Apache ActiveMQ permite ...
-
Microsoft lanza Proyecto Solara: IA sin apps
-
Vulnerabilidad zero-day en VS Code permite el robo...
-
Bomba HTTP/2: exploit DoS remoto afecta a nginx, A...
-
Novedades de hardware en Microsoft Build 2026: min...
-
Google IA excluirá webs que lo rechacen
-
Claude Mythos amplía socios para detectar fallos c...
-
Microsoft lanza MAI-Thinking-1
-
Vulnerabilidad crítica en CCTV de KMW permite acce...
-
Ingenieros de Tesla desconfían de los coches autón...
-
Alertcops: la app de seguridad de la Guardia Civil...
-
Anthropic amplía el acceso a Claude Mythos a 150 n...
-
¿Ejecutará RTX Spark todas las apps de Windows?
-
MSI cumple 40 años en Computex 2026
-
Google soluciona 124 fallos de Android, incluido u...
-
Atacantes aprovechan fallos de Docker y Kubernetes...
-
Intel Nova Lake: 2L-ILM con dos palancas para mejo...
-
ASUS presenta el PC con IA en Computex 2026
-
Microsoft lanza su primera IA para programar
-
Guía de Win10Privacy para Windows
-
OpenAI abre Codex a todo el público
-
Varios paquetes npm de Red Hat Cloud Services han ...
-
Project Solara: la IA de Microsoft que sustituye apps
-
Cisco elogia la búsqueda de errores con IA pero no...
-
Vulnerabilidad de Android permite control total de...
-
Zenni Claw: IA de Asus para cualquier PC
-
Usan bot de Meta para robar cuentas de Instagram
-
¿Una RTX 5080 con el conector 12V-2×6 refrigerado?...
-
Una empresa gastó 500 millones de dólares en IA si...
-
Vulnerabilidad crítica de StrongDM permite robar y...
-
Vulnerabilidad en routers TP-Link Archer BE450 v1 ...
-
Vulnerabilidad de Windows Server permite privilegi...
-
Claude cae globalmente
-
NVIDIA se mete en la lucha de las CPU con RTX Spar...
-
Microsoft anuncia novedades en Windows e IA
-
Troyano Android OverlayPhantom abusa de servicios ...
-
La Policía Nacional de España detiene un menor en ...
-
Claude Code amplía sus límites de uso
-
Vulnerabilidad crítica en WP Maps Pro permite crea...
-
UE negocia acceso a Mythos de Anthropic
-
CIFSwitch abre la puerta a ejecutar código como ro...
-
Surface Laptop Ultra: la potencia del chip RTX Spark
-
Xeno RAT: grupo vinculado a Pakistán ataca el Mini...
-
Nvidia impulsará su crecimiento con CPUs para IA
-
Error de VPN de Palo Alto pasa de aviso a explotac...
-
Dashlane reporta ataque de fuerza bruta que afectó...
-
ATX12VO v3 se filtra: hasta un 83% menos tamaño en...
-
Apple lanzará un nuevo Apple TV 4K con SoC A17 Pro...
-
Hackean el servicio de trucos Atlas Menu de GTA mi...
-
GIGABYTE D5 Single Boost optimiza DDR5 de un solo ...
-
NVIDIA cree que RTX Spark triunfará como el MacBoo...
-
Windows 11 optimiza la búsqueda de archivos
-
DNS de Linux para IA
-
Rocky Linux 10.2 mejora seguridad y gestión de imá...
-
Vulnerabilidad crítica en plugin de caché de Magen...
-
Intel revela su GPU IA Crescent Island con hasta 4...
-
IBM WebSphere vulnerable a ejecución remota de cód...
-
Programación con caramelos de colores
-
Bill Gates cazando demonios en Doom hace 31 años
-
Euro-Office llega el 9 de junio
-
La nueva tecnología Movistar Fast Pass sorprende a...
-
Caída en acceso a archivos de Office Web y Teams
-
Paquetes npm de Red Hat comprometidos para despleg...
-
Explotan activamente vulnerabilidad RCE 0-click en...
-
Vulnerabilidad crítica de Plesk permite ejecutar c...
-
Qualcomm Dragonwing IQ10 RRD: potencia para robóti...
-
PNY lanza GeForce RTX 5090 AIO LYNK+
-
QNAP presenta novedades en Computex 2026
-
MSI Claw 8: renovada y con lo último de Intel
-
Telefónica recupera el control directo sobre una p...
-
AMD EXPO Ultra Low Latency: memorias DDR5 aún más ...
-
NVIDIA lanza RTX Spark para Windows ARM
-
Canonical liderará Flutter Desktop con apoyo de Go...
-
NVIDIA lanza DLSS 4.5
-
Microsoft endurece el restablecimiento de contrase...
-
NVIDIA RTX Spark: los primeros procesadores de NVI...
-
Intel confirma los Xeon 7 Diamond Rapids para 2027...
-
AMD amplía el soporte de sus placas base AM5 hasta...
-
Intel Xeon 6+: procesadores de hasta 288 núcleos E...
-
-
▼
June
(Total:
137
)
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Steam Machine presenta señales de un lanzamiento cercano tras meses de rumores y retrasos en el nuevo hardware de Valve . -
Se ha revelado un nuevo exploit de denegación de servicio remoto llamado "HTTP/2 Bomb" , que afecta a las configuraciones predeter...
Malware de WordPress usa perfiles de Steam para operaciones C2
Se ha detectado una nueva campaña de malware dirigida a sitios web de WordPress. Los atacantes utilizan un método innovador para comunicarse con los sitios infectados, ocultando las instrucciones de comando dentro de los comentarios de los perfiles de la Comunidad de Steam, transformando así una plataforma de videojuegos popular en un canal de control encubierto.
Una campaña de malware recién descubierta que tiene como objetivo los sitios web de WordPress ha generado serias preocupaciones en toda la comunidad de seguridad web.
Los atacantes detrás de esta campaña están utilizando un método inesperado para comunicarse con los sitios infectados, ocultando instrucciones de comando dentro de los comentarios de los perfiles de la Comunidad de Steam y convirtiendo una popular plataforma de juegos en un canal de control encubierto.
El malware funciona en dos etapas. Primero, inyecta JavaScript malicioso en el front-end de un sitio web de WordPress comprometido, sirviendo contenido dañino a cada visitante que llega a la página.
Segundo, planta una puerta trasera (backdoor) en el servidor que otorga a los atacantes un acceso remoto persistente, permitiéndoles modificar los archivos de temas y plugins de WordPress sin dejar rastro visible de la intrusión.
Investigadores de seguridad de GoDaddy identificaron esta campaña, señalando que fue detectada por primera vez en julio de 2024 y, desde entonces, se ha encontrado en aproximadamente 1,900 sitios de WordPress.
GoDaddy afirmó en un informe compartido con Cyber Security News (CSN) que los actores de amenazas están disfrazando deliberadamente su infraestructura detrás de la plataforma de juegos confiable de Valve, en lugar de mantener servidores obviamente maliciosos que podrían ser marcados y eliminados rápidamente.
Lo que hace que esta campaña sea particularmente difícil de detectar es cómo el malware oculta sus cargas útiles (payloads). Utiliza caracteres Unicode invisibles, una técnica conocida como esteganografía, para codificar datos maliciosos dentro del texto de los comentarios de los perfiles de Steam.
Dado que esos caracteres ocultos parecen texto completamente normal a simple vista, es mucho menos probable que las herramientas tradicionales de escaneo basadas en texto los detecten durante las revisiones rutinarias.
.webp)
El alcance de esta campaña es significativo. Los sitios web comprometidos sirven scripts inyectados a cada visitante sin saberlo, exponiendo a los usuarios reales a daños potenciales. Para los propietarios de los sitios, el daño es más profundo, ya que la puerta trasera otorga a los atacantes la capacidad de reescribir el código del sitio incluso después de intentos de limpieza parcial.
El malware de WordPress abusa de los perfiles de la Comunidad de Steam
El núcleo de este ataque se basa en una función PHP integrada dentro de la instalación de WordPress comprometida.
Cuando se carga cualquier página del sitio infectado, el malware envía una solicitud HTTP a una página de perfil de la Comunidad de Steam utilizando cURL, extrae el texto de los comentarios de ese perfil y decodifica las cargas útiles ocultas insertadas en él.
Se ha observado que el malware obtiene perfiles como steamcommunity.com/profiles/76561199096946028 y almacena el contenido extraído utilizando transitorios de WordPress con una ventana de expiración de cinco minutos.
![Resultados de PublicWWW que muestran sitios web cargando hello-myworld[.]info (Fuente - GoDaddy)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjH2SZ8NWQlw-4NVtrB54di88HVt-KvflUQEyvVKfXx_ItznOSi_pczAZ5wcTPnE6A4sdghLZ9HH_YWR-mzinryUZKNrBvvZ7vvOpQTJwtYkPHBDU8QwHJH0fPFOh9AYbJgOYiVDIWa0AHSuEgRysap1Jkh9i1UcuD-emg_TPwTYQNOSC1nMCSgK6pWJWo/w640-h502/PublicWWW%20results%20showing%20websites%20loading%20hello-mywordl%5B.%5Dinfo%20(Source%20-%20GoDaddy).webp)
Los datos decodificados se convierten en una URL de JavaScript inyectada en cada página del front-end a través del hook wp_enqueue_script, bajo el nombre engañoso de “asahi-jquery-min-bundle”, diseñado para imitar una librería legítima.
La URL externa decodificada observada durante el análisis apuntaba a hello-myworld[.]info, que sirve la carga útil final de JavaScript malicioso a los visitantes del sitio.
Puerta trasera sigilosa permite la ejecución remota de código
El componente del lado del servidor es tan peligroso como la inyección en el front-end. Una función de puerta trasera registrada a través del hook template_redirect de WordPress escucha solicitudes POST que contienen cookies de autenticación específicas.
Cuando esas cookies están presentes, la puerta trasera confirma que está activa devolviendo una cadena de versión, o acepta código PHP codificado en base64 y reescribe los archivos de plugins y temas en toda la instalación de WordPress.
Esta capacidad de ejecución remota de código significa que, aunque elimines parte de la infección, los atacantes pueden reinstalar el código borrado a través de la puerta trasera que sigue activa.
El malware protege este canal utilizando cifrado AES-256-CTR con derivación de claves PBKDF2 basada en SHA-512 y 10,000 iteraciones, junto con autenticación HMAC-SHA256 para verificar cada carga útil entrante.
Para evadir la detección, el malware aplica múltiples capas de técnicas de ofuscación. Todas las constantes de cadena están codificadas mediante secuencias de escape octales o hexadecimales, los nombres de funciones y variables siguen un estilo hexadecimal aleatorio de mayúsculas y minúsculas mixtas, y una función de registro desactivada está dispersa por el código para imitar una infraestructura de depuración legítima sin llegar a ejecutarse nunca.
Si sospechas que tu sitio está infectado, debes activar el modo de mantenimiento inmediatamente y hacer una copia de seguridad de la instalación comprometida antes de realizar cualquier cambio.
Debes renovar todas las credenciales de WordPress, incluidas las contraseñas de administrador, el acceso a la base de datos, las credenciales FTP y las claves SSH. La limpieza debe cubrir cada archivo de plugin y tema, ya que la eliminación parcial no es suficiente dada la capacidad de la puerta trasera para restaurar remotamente el código eliminado.
Debes eliminar las entradas sospechosas de caché transitoria con el prefijo transient_caption y los scripts externos encolados que apunten a dominios desconocidos.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| URL | https://steamcommunity.com/profiles/76561199096946028/ | Perfil de Steam utilizado para alojar cargas útiles C2 codificadas |
| URL | https://steamcommunity.com/id/ravypadliha | Perfil de Steam observado durante la obtención del malware |
| URL | https://steamcommunity.com/id/enomisvool123/ | Perfil de Steam observado durante la obtención del malware |
| URL | https://steamcommunity.com/id/eremohnf342 | Perfil de Steam observado durante la obtención del malware |
| Dominio | hello-myworld[.]info | Dominio externo que sirve la carga útil de JavaScript malicioso decodificada |
| Nombre de Cookie | DEpjndDbNc | Cookie de autenticación utilizada para activar la respuesta de ping/keepalive de la puerta trasera |
| Nombre de Cookie | tEcaKKXEsb | Cookie de autenticación utilizada para activar la ejecución remota de código a través de la puerta trasera |
| Ruta de Archivo | /wp-content/themes/gt3-child/functions.php | Ruta del archivo donde se descubrió inicialmente el malware |
| Nombre de Handle | asahi-jquery-min-bundle | Nombre engañoso del handle del script utilizado para inyectar JavaScript malicioso |
| Prefijo Transitorio | transient_caption | Prefijo de caché transitoria de WordPress utilizado para almacenar datos de C2 |
| Nombre de Función | Ce8d26cADf211699 | Función PHP responsable de obtener el contenido del perfil de Steam |
| Nombre de Función | EdF20922Ff709e68 | Función PHP que realiza la decodificación criptográfica de las cargas útiles |
| Nombre de Función | G7jp2L84mnVc4LNW9wcbZcaVFAyC9N72 | Función PHP que inyecta el script decodificado en el front-end de WordPress |
| Nombre de Función | mpzZYIbGOb | Función manejadora de la puerta trasera PHP registrada a través de template_redirect |
Nota: Las direcciones IP y los dominios están intencionadamente desactivados (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/wordpress-malware-abuses-steam/
Labels:
Newer Post
0 comments :
Post a Comment
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.