Sneaky Credit Card Skimmer Disfrazado como Inofensivo Rastreador de Facebook

Luis Quiles

abril 12, 2024

Seguridad Web, WordPress

Los investigadores de ciberseguridad han descubierto un skimmer de tarjetas de crédito que está oculto dentro de un script falso de rastreador de Meta Pixel en un intento de evadir la detección.

Sucuri dijo que el malware se inyecta en sitios web a través de herramientas que permiten código personalizado, como complementos de WordPress como Simple Custom CSS y JS o la sección de «Scripts Varios» del panel de administración de Magento.

«Los editores de scripts personalizados son populares entre los actores maliciosos porque permiten JavaScript externo de terceros (y malicioso) y pueden fingir ser benignos fácilmente aprovechando convenciones de nombres que coinciden con scripts populares como Google Analytics o bibliotecas como JQuery», dijo el investigador de seguridad Matt Morrow.

El falso script de rastreador de Meta Pixel identificado por la empresa de seguridad web contiene elementos similares a su homólogo legítimo, pero un examen más detenido revela la adición de código JavaScript que sustituye las referencias al dominio «connect.facebook[.]net» por «b-connected[.]com».

Mientras que el primero es un dominio genuino vinculado a la funcionalidad de seguimiento de Pixel, el dominio de reemplazo se utiliza para cargar un script malicioso adicional («fbevents.js») que monitorea si una víctima está en una página de pago, y si es así, sirve una superposición fraudulenta para obtener sus detalles de tarjeta de crédito.

Vale la pena señalar que «b-connected[.]com» es un sitio web de comercio electrónico legítimo que en algún momento fue comprometido para alojar el código del skimmer. Además, la información ingresada en el formulario falso se exfiltra a otro sitio comprometido («www.donjuguetes[.]es»).

Para mitigar tales riesgos, se recomienda mantener los sitios actualizados, revisar periódicamente las cuentas de administrador para determinar si todas son válidas y actualizar las contraseñas con frecuencia.

Esto es particularmente importante ya que se sabe que los actores de amenazas aprovechan contraseñas débiles y fallos en los complementos de WordPress para obtener acceso elevado a un sitio objetivo y agregar usuarios de administrador falsos, que luego se utilizan para realizar diversas actividades, incluida la adición de complementos y puertas traseras adicionales.

«Porque los ladrones de tarjetas de crédito a menudo esperan palabras clave como ‘checkout’ o ‘onepage’, es posible que no se vuelvan visibles hasta que se haya cargado la página de pago», dijo Morrow.

«Dado que la mayoría de las páginas de pago se generan dinámicamente según los datos de las cookies y otras variables que se pasan a la página, estos scripts evitan los escáneres públicos y la única forma de identificar el malware es revisar el código fuente de la página o monitorear el tráfico de red. Estos scripts se ejecutan en silencio en segundo plano».

Este desarrollo surge mientras Sucuri también revela que los sitios construidos con WordPress y Magento son el objetivo de otro malware llamado Magento Shoplift. Variantes anteriores de Magento Shoplift han sido detectadas en la naturaleza desde septiembre de 2023.

La cadena de ataque comienza con la inyección de un fragmento de JavaScript ofuscado en un archivo de JavaScript legítimo que es responsable de cargar un segundo script desde jqueurystatics[.]com a través de WebSocket Secure (WSS), el cual, a su vez, está diseñado para facilitar el robo de tarjetas de crédito y el robo de datos mientras se hace pasar por un script de Google Analytics.

«WordPress se ha convertido en un jugador masivo en el comercio electrónico también, gracias a la adopción de Woocommerce y otros complementos que pueden convertir fácilmente un sitio de WordPress en una tienda en línea completamente funcional», dijo la investigadora Puja Srivastava.

«Esta popularidad también hace que las tiendas de WordPress sean un objetivo principal, y los atacantes están modificando su malware de comercio electrónico MageCart para atacar una gama más amplia de plataformas de CMS».

Tags :