M\u00faltiples plataformas de sistemas de gesti\u00f3n de contenidos (CMS) como WordPress, Magento y OpenCart han sido el objetivo de un nuevo skimmer web de tarjetas de cr\u00e9dito llamado Caesar Cipher Skimmer.<\/p>\n
Un web skimmer se refiere al malware que se inyecta en sitios de comercio electr\u00f3nico con el objetivo de robar informaci\u00f3n financiera y de pago<\/a>. <\/p>\n Seg\u00fan Sucuri, la \u00faltima campa\u00f1a implica realizar modificaciones maliciosas en la p\u00e1gina PHP de pago asociada con el complemento WooCommerce para WordPress (“form-checkout.php”) para robar datos de tarjetas de cr\u00e9dito.<\/p>\n “Durante los \u00faltimos meses, las inyecciones se han modificado para que parezcan menos sospechosas que un gui\u00f3n largo y confuso”, afirma el investigador de seguridad Ben Martin. dicho<\/a>se\u00f1alando el intento del malware de hacerse pasar por Google Analytics y Google Tag Manager.<\/p>\n Espec\u00edficamente, emplea el mismo mecanismo de sustituci\u00f3n empleado en cifrado C\u00e9sar<\/a> para codificar el fragmento de c\u00f3digo malicioso en una cadena confusa y ocultar el dominio externo que se utiliza para alojar la carga \u00fatil.<\/p>\n Se supone que todos los sitios web han sido previamente comprometidos a trav\u00e9s de otros medios para montar un script PHP que lleva los nombres “style.css” y “css.php” en un aparente esfuerzo por imitar un hoja de estilo HTML<\/a> y evadir la detecci\u00f3n.<\/p>\n Estos scripts, a su vez, est\u00e1n dise\u00f1ados para cargar otro c\u00f3digo JavaScript ofuscado que crea un WebSocket y se conecta a otro servidor para buscar el skimmer real.<\/p>\n “El script env\u00eda la URL de las p\u00e1ginas web actuales, lo que permite a los atacantes enviar respuestas personalizadas para cada sitio infectado”, se\u00f1al\u00f3 Martin. “Algunas versiones del script de segunda capa incluso verifican si lo carga un usuario de WordPress que inici\u00f3 sesi\u00f3n y modifican la respuesta para ellos”.<\/p>\n Algunas versiones del gui\u00f3n tienen explicaciones legibles por programadores (tambi\u00e9n conocidas como comentarios) escritas en ruso, lo que sugiere que los actores de amenazas detr\u00e1s de la operaci\u00f3n hablan ruso.<\/p>\n El archivo form-checkout.php en WooCommerce no es el \u00fanico m\u00e9todo utilizado para implementar el skimmer, ya que tambi\u00e9n se ha descubierto que los atacantes hacen un mal uso del complemento WPCode leg\u00edtimo para inyectarlo en la base de datos del sitio web.<\/p>\n En los sitios web que utilizan Magento, las inyecciones de JavaScript se realizan en tablas de bases de datos como core_config_data<\/a>. Actualmente no se sabe c\u00f3mo se logra esto en los sitios OpenCart.<\/p>\n Debido a su uso generalizado como base para sitios web, WordPress y el ecosistema de complementos m\u00e1s amplio se han convertido en un objetivo lucrativo para actores maliciosos, lo que les permite un f\u00e1cil acceso a una amplia superficie de ataque.<\/p>\n Es imperativo que los propietarios de sitios mantengan actualizados sus complementos y software CMS, apliquen la higiene de las contrase\u00f1as y los auditen peri\u00f3dicamente para detectar la presencia de cuentas de administrador sospechosas.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/El-nuevo-Skimmer-de-tarjetas-de-credito-se-dirige-a.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n