Underc0de - La Casa de los Informáticos

Los investigadores de ciberseguridad han emitido una alerta sobre una nueva campaña de skimmer de tarjetas de crédito que afecta directamente a las páginas de pago de sitios de comercio electrónico basados en WordPress. El ataque se caracteriza por la inyección de código JavaScript malicioso dentro de la base de datos del CMS, lo que permite a los atacantes robar de manera sigilosa los datos de pago de los clientes sin ser detectados.

Según un análisis de la investigadora Puja Srivastava, de Sucuri (empresa de seguridad web propiedad de GoDaddy), el malware opera con gran discreción, activándose únicamente en las páginas de pago. Allí puede secuestrar los formularios legítimos o inyectar uno falso que imita a procesadores de pago populares como Stripe, con el objetivo de engañar al usuario y capturar información financiera sensible.

Cómo funciona el skimmer de tarjetas de crédito en WordPress

El análisis reveló que el código malicioso se encontraba oculto en la tabla wp_options de WordPress, específicamente dentro de la opción "widget_block". Esta técnica le permite a los atacantes:

• Evadir herramientas de escaneo tradicionales.
• Mantener persistencia en el sitio web comprometido.
• Insertar dinámicamente el código JavaScript en widgets HTML desde el panel de administración (wp-admin > widgets).

Una vez activo, el JavaScript verifica si el usuario se encuentra en una página de pago. Si es así, genera una pantalla falsa de pago diseñada para parecer legítima. Este formulario captura datos confidenciales como:

• Número de tarjeta de crédito.
• Fecha de vencimiento.
• Código CVV.
• Dirección de facturación y datos de contacto.

En algunos casos, el script también intercepta la información ingresada en los formularios legítimos en tiempo real, lo que garantiza una mayor tasa de éxito en el robo de datos.

Técnicas de evasión y exfiltración de datos

Para evitar ser detectado, el malware cifra y codifica los datos robados en varias capas:

• Los datos se convierten en JSON.
• Luego se cifran con XOR usando la clave "script".
• Finalmente, se codifican en Base64.

Después de este proceso, la información se envía a servidores remotos controlados por los atacantes, como:

• valhafather[.]xyz
• fqbe23[.]xyz
• staticfonts[.]com

Este método de ofuscación múltiple dificulta que las soluciones de seguridad identifiquen el tráfico malicioso.

Antecedentes: ataques previos a WordPress y Magento

No es la primera vez que se observa este tipo de campaña. Hace algunas semanas, Sucuri identificó otro ataque con técnicas similares, en el que el malware generaba dinámicamente formularios falsos de tarjetas de crédito en WordPress y también aprovechaba APIs de Magento para recopilar información personal adicional de los clientes, incluyendo:

• Nombre completo.
• Dirección.
• Correo electrónico.
• Número de teléfono.

Estos ataques refuerzan la tendencia creciente de utilizar JavaScript malicioso como skimmer para atacar plataformas de comercio electrónico y robar datos financieros de manera automatizada.

Phishing de PayPal: un riesgo adicional para usuarios y empresas

Paralelamente, los investigadores de Fortinet FortiGuard Labs han descubierto una campaña de phishing financiero que suplanta a PayPal para engañar a las víctimas con falsas solicitudes de pago por sumas cercanas a $2,200 dólares.

El truco de esta campaña radica en que los correos fraudulentos:

• Se originan desde una dirección legítima de PayPal ([email protected]
• ).
• Incluyen una URL de inicio de sesión auténtica, lo que ayuda a burlar los filtros de seguridad.

Los atacantes utilizan un dominio de prueba gratuito de Microsoft 365 para crear listas de distribución con las direcciones de las víctimas. Cuando la persona intenta iniciar sesión para rechazar el pago, su cuenta queda vinculada automáticamente a la lista de distribución del atacante, permitiendo así el secuestro de cuentas PayPal.

Robo de criptomonedas mediante simulación de transacciones

Otro vector de ataque emergente detectado en las últimas semanas es el robo de criptomonedas a través de la técnica conocida como simulación de transacciones en billeteras Web3.

Esta función, diseñada originalmente para mejorar la experiencia del usuario, permite previsualizar una transacción antes de confirmarla. Sin embargo, los atacantes han aprendido a explotar el intervalo de tiempo entre la simulación y la ejecución real.

El método consiste en crear sitios falsos que imitan aplicaciones descentralizadas (DApps), lo que lleva a los usuarios a firmar transacciones manipuladas. Esto facilita ataques de "drain" o drenaje de billeteras, en los que los fondos son transferidos sin que la víctima lo advierta.

Consecuencias para el comercio electrónico y los usuarios

Los tres vectores analizados —skimming en WordPress, phishing de PayPal y fraude en criptomonedas Web3— evidencian que los ciberdelincuentes están diversificando sus técnicas para robar información financiera.

• Empresas de e-commerce en WordPress: se enfrentan al riesgo de perder la confianza de sus clientes y sufrir sanciones regulatorias por filtración de datos.
• Usuarios de PayPal: pueden perder acceso total a sus cuentas y ver sus fondos comprometidos.
• Propietarios de criptomonedas: son víctimas de ataques cada vez más sofisticados que aprovechan funcionalidades legítimas para engañar.

Cómo protegerse ante estas amenazas

Los expertos en ciberseguridad recomiendan adoptar una estrategia múltiple de protección:

• Actualizar constantemente plugins y temas de WordPress para evitar inyecciones de malware.
• Implementar firewalls de aplicaciones web (WAF) para bloquear scripts sospechosos.
• Monitorear las tablas de base de datos de WordPress en busca de entradas maliciosas en wp_options.
• Verificar cuidadosamente correos de PayPal y evitar hacer clic en enlaces de mensajes inesperados.
• Usar billeteras Web3 seguras y verificar DApps oficiales antes de firmar cualquier transacción.
• Formar al personal y usuarios en prácticas seguras de ciberhigiene.

En fin, la campaña de skimmer de tarjetas de crédito en WordPress demuestra la creciente sofisticación de los ataques contra el comercio electrónico. Sumado a los fraudes de phishing en PayPal y los ataques de simulación en Web3, queda claro que los ciberdelincuentes están perfeccionando sus tácticas para aprovechar vulnerabilidades técnicas y la confianza de los usuarios.

La clave para protegerse está en mantener los sistemas actualizados, aplicar medidas preventivas avanzadas y fomentar la educación en ciberseguridad tanto en empresas como en usuarios individuales.

Fuente: https://thehackernews.com