Los investigadores de ciberseguridad advierten sobre una nueva campaña sigilosa de skimmer de tarjetas de crédito que apunta a las páginas de pago de comercio electrónico de WordPress mediante la inserción de código JavaScript malicioso en una tabla de base de datos asociada con el sistema de gestión de contenido (CMS).
“Este malware skimmer de tarjetas de crédito dirigido a sitios web de WordPress inyecta silenciosamente JavaScript malicioso en las entradas de la base de datos para robar detalles de pago confidenciales”, dijo el investigador de Sucuri, Puja Srivastava. dicho en un nuevo análisis.
“El malware se activa específicamente en las páginas de pago, ya sea secuestrando campos de pago existentes o inyectando un formulario de tarjeta de crédito falso”.
La empresa de seguridad de sitios web propiedad de GoDaddy dijo que descubrió el malware incrustado en WordPress. tabla wp_options con la opción “widget_block”, lo que le permite evitar la detección por herramientas de escaneo y persistir en sitios comprometidos sin llamar la atención.
Al hacerlo, la idea es insertar el JavaScript malicioso en un widget de bloque HTML a través del panel de administración de WordPress (wp-admin > widgets).
El código JavaScript funciona verificando si la página actual es una página de pago y garantiza que entre en acción solo después de que el visitante del sitio esté a punto de ingresar sus detalles de pago, momento en el cual crea dinámicamente una pantalla de pago falsa que imita a los procesadores de pagos legítimos. como Raya.
El formulario está diseñado para capturar los números de tarjetas de crédito, fechas de vencimiento, números CVV e información de facturación de los usuarios. Alternativamente, el script malicioso también es capaz de capturar datos ingresados en pantallas de pago legítimas en tiempo real para maximizar la compatibilidad.
Posteriormente, los datos robados se codifican en Base64 y se combinan con el cifrado AES-CBC para que parezcan inofensivos y resistan los intentos de análisis. En la etapa final, se transmite a un servidor controlado por el atacante (“valhafather[.]xyz” o “fqbe23[.]xyz”).
El desarrollo llega más de un mes después de Sucuri. resaltado una campaña similar que aprovechó el malware JavaScript para crear dinámicamente formularios de tarjetas de crédito falsos o extraer datos ingresados en los campos de pago en las páginas de pago.
Luego, la información recopilada se somete a tres capas de ofuscación: primero se codifica como JSON, se cifra con XOR con la clave “script” y, finalmente, se utiliza codificación Base64, antes de exfiltrarla a un servidor remoto (“staticfonts”).[.]com”).
“El script está diseñado para extraer información confidencial de la tarjeta de crédito de campos específicos en la página de pago”, señaló Srivastava. “Luego, el malware recopila datos adicionales del usuario a través de las API de Magento, incluido el nombre del usuario, la dirección, el correo electrónico, el número de teléfono y otra información de facturación. Estos datos se recuperan a través de los modelos de cotización y datos del cliente de Magento”.
La divulgación también sigue al descubrimiento de una campaña de correo electrónico de phishing con motivación financiera que engaña a los destinatarios para que hagan clic en las páginas de inicio de sesión de PayPal con el pretexto de una solicitud de pago pendiente por una suma de casi $2,200.
“Parece que el estafador simplemente registró un dominio de prueba de Microsoft 365, que es gratuito durante tres meses, y luego creó una lista de distribución (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) que contiene correos electrónicos de las víctimas”, Carl Windsor de Fortinet FortiGuard Labs dicho. “En el portal web de PayPal simplemente solicitan el dinero y agregan como dirección la lista de distribución”.
Lo que hace que la campaña sea engañosa es el hecho de que los mensajes se originan en una dirección legítima de PayPal ([email protected]) y contienen una URL de inicio de sesión genuina, lo que permite que los correos electrónicos eludan las herramientas de seguridad.
Para empeorar las cosas, tan pronto como la víctima intenta iniciar sesión en su cuenta PayPal para solicitar el pago, su cuenta se vincula automáticamente a la dirección de correo electrónico de la lista de distribución, lo que permite al actor de amenazas secuestrar el control de la cuenta.
En las últimas semanas, también se ha observado que actores maliciosos aprovechan una técnica novedosa llamada suplantación de simulación de transacciones para robar criptomonedas de las billeteras de las víctimas.
“Las billeteras Web3 modernas incorporan la simulación de transacciones como una característica fácil de usar”, Scam Sniffer dicho. “Esta capacidad permite a los usuarios obtener una vista previa del resultado esperado de sus transacciones antes de firmarlas. Si bien está diseñada para mejorar la transparencia y la experiencia del usuario, los atacantes han encontrado formas de explotar este mecanismo”.
Las cadenas de infección implican aprovechar el intervalo de tiempo entre la simulación y la ejecución de la transacción, lo que permite a los atacantes configurar sitios falsos que imitan aplicaciones descentralizadas (DApps) para llevar a cabo ataques fraudulentos de drenaje de billeteras.
“Este nuevo vector de ataque representa una evolución significativa en las técnicas de phishing”, afirmó el proveedor de soluciones antiestafa Web3. “En lugar de confiar en un simple engaño, los atacantes ahora están explotando funciones confiables de billetera en las que los usuarios confían para su seguridad. Este enfoque sofisticado hace que la detección sea particularmente desafiante”.
About the Author
