Investigadores de ciberseguridad han descubierto un skimmer de tarjetas de crédito oculto dentro de una copia falsa. Script de seguimiento de metapíxeles en un intento de evadir la detección.
Sucuri dijo que el malware se inyecta en sitios web a través de herramientas que permiten código personalizado, como complementos de WordPress como CSS y JS personalizados simples o el «Guiones varios» del panel de administración de Magento.
«Los editores de scripts personalizados son populares entre los malos actores porque permiten JavaScript externo de terceros (y malicioso) y pueden pretender fácilmente ser benignos aprovechando convenciones de nomenclatura que coincidan con scripts populares como Google Analytics o bibliotecas como JQuery», dijo el investigador de seguridad Matt Morrow. dicho.
El falso script de seguimiento Meta Pixel identificado por la empresa de seguridad web contiene elementos similares a su homólogo legítimo, pero un examen más detenido revela la adición de código JavaScript que sustituye las referencias al dominio «connect.facebook».[.]net» con «b-conectado[.]com.»
Mientras que el primero es un dominio genuino vinculado a la funcionalidad de seguimiento de píxeles, el dominio de reemplazo se utiliza para cargar un script malicioso adicional («fbevents.js») que monitorea si una víctima está en una página de pago y, de ser así, ofrece una superposición fraudulenta para obtener los datos de su tarjeta de crédito. .
Vale la pena señalar que «b-connected[.]com» es un sitio web legítimo de comercio electrónico que ha sido vulnerado en algún momento para alojar el código skimmer. Es más, la información introducida en el formulario falso se filtra a otro sitio vulnerado («www.donjuguetes[.]es»).
Para mitigar dichos riesgos, se recomienda mantener los sitios actualizados, revisar periódicamente las cuentas de administrador para determinar si todas son válidas y actualizar las contraseñas con frecuencia.
Esto es particularmente importante ya que se sabe que los actores de amenazas aprovechan contraseñas débiles y fallas en los complementos de WordPress para obtener acceso elevado a un sitio de destino y agregar usuarios administradores maliciosos, que luego se utilizan para realizar otras actividades, incluida la adición de complementos y puertas traseras adicionales.
«Debido a que los ladrones de tarjetas de crédito a menudo esperan palabras clave como ‘pagar’ o ‘una página’, es posible que no se vuelvan visibles hasta que se haya cargado la página de pago», dijo Morrow.
«Dado que la mayoría de las páginas de pago se generan dinámicamente en función de los datos de las cookies y otras variables pasadas a la página, estos scripts evaden los escáneres públicos y la única forma de identificar el malware es verificar el origen de la página o observar el tráfico de la red. Estos scripts se ejecutan silenciosamente en el fondo.»
El desarrollo se produce cuando Sucuri también reveló que los sitios creados con WordPress y Magento son el objetivo de otro malware llamado Magento Shoplift. Se han detectado variantes anteriores de Magento Shoplift en estado salvaje desde septiembre de 2023.
La cadena de ataque comienza con la inyección de un fragmento de JavaScript ofuscado en un archivo JavScript legítimo que es responsable de cargar un segundo script desde jqueurystatics.[.]com a través de WebSocket Secure (WSS), que, a su vez, está diseñado para facilitar el robo de datos y el robo de datos de tarjetas de crédito mientras se hace pasar por un script de Google Analytics.
«WordPress también se ha convertido en un actor importante en el comercio electrónico, gracias a la adopción de Woocommerce y otros complementos que pueden convertir fácilmente un sitio de WordPress en una tienda en línea con todas las funciones», dijo el investigador Puja Srivastava. dicho.
«Esta popularidad también convierte a las tiendas de WordPress en un objetivo principal, y los atacantes están modificando su malware de comercio electrónico MageCart para apuntar a una gama más amplia de plataformas CMS».