Schedule a Strategy Call

GootLoader vuelve a atacar WordPress: Nuevo truco con fuentes para ocultar malware

Attackers scan 1.6 million WordPress sites for a vulnerable plugin

El malware Gootloader ha resurgido con nuevas técnicas de evasión altamente sofisticadas, afectando al menos tres nuevas infecciones desde el 27 de octubre de 2025. Dos de estos incidentes resultaron en compromisos con acceso manual (hands-on-keyboard), logrando comprometer controladores de dominio en tan solo 17 horas tras la infección inicial. 

La campaña utiliza sitios WordPress comprometidos y SEO envenenamiento para distribuir plantillas falsas de documentos jurídicos. 

 Gootloader Resurge: Evasión de Glifos y RCE en 17 Horas 

La velocidad de ejecución (time-to-domain-compromise) de menos de 24 horas subraya la sofisticación de los actores (Storm-0494 y Vanilla Tempest) y la urgencia de la amenaza. 

Nuevas Técnicas de Evasión 
  • Manipulación de Glifos (WOFF2): Los atacantes utilizan una fuente web personalizada en formato WOFF2 que realiza la sustitución de glifos (sustitución de glifos). El texto que aparece al usuario (ej., “Florida_HOA_Committee_Meeting_Guide.pdf”) difiere del texto real en el código fuente, impidiendo que los sistemas de análisis automatizados detecten palabras clave de malware (como “guide” o “invoice”). 
  • ZIP Malformado: El malware utiliza archivos ZIP especialmente construidos que entregan un archivo .JS malicioso solo cuando se extraen con el Explorador de Windows (Nativo). Herramientas de análisis (7-Zip, VirusTotal ) ven archivos inocuos (.TXT), retrasando la detección automática. 
  • Vector de WordPress: La descarga del payload se realiza a través del endpoint de comentarios de WordPress (/wp-comments-post.php), eludiendo los controles de descarga tradicionales. 
Cadena de Ataque y Velocidad 
  • Acceso Inicial: La víctima descarga y ejecuta el .JS. 
  • Backdoor e Infiltración: El cargador instala el backdoor Supper (proxy SOCKS5), utilizado por el actor Vanilla Tempest . 
  • Compromiso Rápido: El reconocimiento se inicia en$approx 20$minutos, y el movimiento lateral utiliza protocolos de red corporativa (WinRM, Kerberoasting) para avanzar hacia el controlador de dominio en menos de 17 horas.
Por Qué es Crítico 
  • Velocidad Extrema: Comprometer un controlador de dominio en menos de 24 horas deja a los equipos de seguridad con un margen de respuesta casi nulo. 
  • Evasión Sofisticada: La manipulación de glifos es una técnica de evasión de malware poco común que engaña tanto a humanos como a máquinas. 
  • Riesgo por Confianza: El ataque explota la confianza humana en la búsqueda orgánica (SEO envenenamiento) y en los documentos legales, un vector que muchas organizaciones no monitorean. 
 Recomendaciones 
  1. Hardeningde Endpoint y Red
  • Bloqueo de Scripts: Configurar el explorador para mostrar las extensiones de archivo y deshabilitar la ejecución automática de accesos directos (.LNK) o scripts descargados. 
  • Control de Ejecución: Restringir fuertemente la descarga de documentos ejecutables (.js, .vbs) desde sitios externos. 
  • Segmentación: Segmentar la red de usuarios finales de los servidores críticos: impedir que estaciones de trabajo accedan directamente a controladores de dominio (Zero Trust). 
  1. Detección de Comportamiento (SOC / EDR)
  • Reglas de Evasión: Crear detecciones de comportamiento para: 
  • Ejecución de procesos PowerShell o JavaScript con carga de XOR o Z85 codificado. 
  • Monitorear persistencia vía carpeta Startupcon atajos.LNK o scripts encadenados. 
  • Monitoreo de Movimiento Lateral: Revisar logs de autenticación en controladores de dominio: buscar procesos de WinRM, nuevos usuarios locales o actividad de Kerberoast en los minutos y horas posteriores a una descarga sospechosa. 
  • Tráfico C2: Monitorear tráfico de red hacia servidores C2 conocidos usados por Vanilla Tempest/Gootloader , así como conexiones de salida en puertos no estándar o túneles SOCKS5 (del backdoor Supper). 
  1. Formación y Gobernanza
  • Conciencia: Capacitar a los empleados sobre el riesgo de descargar plantillas legales gratuitas fuera de los canales oficiales y la necesidad de validar siempre el origen del archivo, especialmente si es un ZIP. 
  • Auditoría de WordPress: Realizar Asset Discovery en sitios WordPress internos o externos que podrían estar comprometidos: revise si hay comentarios POST dirigidos a /wp-comments-post.php. 
Back to all Post

Related Post