(https://i.imgur.com/n3bcGHP.png)
Los investigadores en ciberseguridad han detectado una nueva campaña de skimmer de tarjetas de crédito dirigida a sitios web de comercio electrónico en WordPress. Este ataque aprovecha la inserción de código JavaScript malicioso en bases de datos del sistema de gestión de contenido (CMS), enfocándose específicamente en las páginas de pago.
¿Cómo Funciona el Ataque?El malware, identificado por Puja Srivastava de Sucuri, inyecta JavaScript malicioso en la tabla wp_options de WordPress utilizando la opción "widget_block". Esto permite al skimmer:
- Evadir la detección por herramientas de seguridad tradicionales.
- Persistir en sitios comprometidos sin alertar a los administradores.
Desde el panel de administración (wp-admin > widgets), los atacantes pueden incrustar el código malicioso en widgets de bloques HTML.
Tácticas del Malware- Falsificación de formularios de pago: El JavaScript malicioso verifica si la página actual es de pago. Si es así, crea dinámicamente un formulario falso que imita a procesadores de pago legítimos como Stripe.
- Captura de datos confidenciales: El malware roba números de tarjetas de crédito, fechas de vencimiento, códigos CVV e información de facturación. También puede interceptar datos ingresados en formularios legítimos en tiempo real.
- Ofuscación avanzada: Los datos robados se codifican en Base64 y se cifran con AES-CBC antes de enviarse a servidores controlados por los atacantes como valhafather[.]xyz.
Relación con Ataques PreviosEsta campaña se asemeja a otra observada por Sucuri recientemente, donde los datos se ofuscaban en tres capas:
- Codificación en JSON.
- Cifrado XOR con la clave "script".
- Codificación Base64.
Los datos terminaban en servidores como staticfonts[.]com, y los ataques se dirigían también a Magento, robando información de clientes a través de sus modelos de datos.
Amenazas AdicionalesAdemás de los skimmers, los investigadores han identificado una campaña de phishing avanzada que utiliza correos de PayPal legítimos para secuestrar cuentas de usuarios mediante solicitudes de pago fraudulentas.
Por otro lado, se ha reportado una nueva técnica llamada suplantación de simulación de transacciones en billeteras Web3, explotando funcionalidades legítimas para drenar criptomonedas.
Recomendaciones de Seguridad- Actualización constante: Asegúrese de que el sistema y los complementos de WordPress estén actualizados.
- Auditorías de seguridad: Revise regularmente las tablas de bases de datos, especialmente wp_options, para detectar entradas sospechosas.
- Implementar WAF: Un firewall de aplicaciones web puede bloquear actividades maliciosas como inyecciones de JavaScript.
Capacitación en ciberseguridad: Eduque a los equipos sobre la detección de ataques sofisticados, incluyendo phishing y técnicas avanzadas de exfiltración de datos.
En conclusión, la evolución de los ataques cibernéticos en plataformas populares como WordPress y tecnologías emergentes como Web3 subraya la necesidad de implementar estrategias de seguridad robustas y mantenerse informado sobre amenazas emergentes.
Fuente: https://thehackernews.com