En la capital española, Madrid, el 30 de enero, un grupo de expertos en seguridad cibernética ha lanzado una alarma sobre una preocupante campaña delictiva en la que los ciberdelincuentes han comprometido más de 10.000 sitios web que utilizan el popular sistema de gestión de contenidos de WordPress para diseminar software malicioso. Este ataque está orientado principalmente a usuarios de los sistemas operativos MacOS y Windows.

Según un análisis realizado por la empresa de ciberseguridad c/side, se ha descubierto que los sitios comprometidos funcionaban con versiones obsoletas de WordPress (en particular, la versión 6.7.1) y sus complementos. Esta desactualización ha sido fundamental para que los atacantes pudieran inyectar código JavaScript malicioso en las páginas afectadas.

La campaña, que sigue activa y en auge, según declaraciones de Simon Wijckmans, fundador y director ejecutivo de c/side, tiene el objetivo de propagar malware que es capaz de robar contraseñas y datos personales de los usuarios que navegan desde equipos Windows y Mac. Se identifican dos variantes de malware en esta operación: SocGholish, diseñado para usuarios de Windows, y el Atomic macOS Stealer (AMOS), destinado a los dispositivos de Apple.

Este malware, que puede adquirirse a través de canales como Telegram y, según la firma de ciberseguridad, ha estado en circulación durante un periodo considerable de tiempo, se introduce mediante páginas web y plugins desactualizados de WordPress. Esto permite que, al cargar cualquiera de estos sitios comprometidos en el navegador, los usuarios sean redirigidos rápidamente a una página falsa que simula ser una actualización de Chrome, pidiéndoles que descarguen una supuesta actualización para continuar accediendo al contenido del sitio.

Si el usuario cayendo en el engaño acepta la descarga, el sitio web vulnerado lo conducirá a instalar un archivo malicioso que engaña haciéndose pasar por la nueva versión del software, específico para el sistema operativo en uso, ya sea Windows o Mac.

La firma c/side ha conseguido identificar más de 10.000 sitios web que han sido víctimas de esta campaña, entre los cuales se encuentran virtualdc.org, rednosehorse.com, modernkeys.org, packedbrick.com, leatherbook.org, groundrats.org y blacksaltys.com, entre otros.

Ante esta situación, c/side ha instado a los usuarios a tomar medidas preventivas, recomendando la actualización inmediata de WordPress y de todos sus complementos, así como la eliminación de aquellos que no se utilicen frecuentemente. También exhortan a los propietarios de sitios a revisar el historial de actividad de los últimos 90 días en busca de señales de actividades maliciosas.