{"id":1288671,"date":"2024-07-23T20:30:17","date_gmt":"2024-07-23T20:30:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/sitios-de-magento-atacados-por-un-clonador-de-tarjetas-de-credito-mediante-archivos-de-intercambio\/"},"modified":"2024-07-23T20:30:22","modified_gmt":"2024-07-23T20:30:22","slug":"sitios-de-magento-atacados-por-un-clonador-de-tarjetas-de-credito-mediante-archivos-de-intercambio","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/sitios-de-magento-atacados-por-un-clonador-de-tarjetas-de-credito-mediante-archivos-de-intercambio\/","title":{"rendered":"Sitios de Magento atacados por un clonador de tarjetas de cr\u00e9dito mediante archivos de intercambio"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Detecci\u00f3n de amenazas \/ Seguridad de sitios web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Sitios-de-Magento-atacados-por-un-clonador-de-tarjetas-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado que los actores de amenazas utilizan archivos de intercambio en sitios web comprometidos para ocultar un skimmer de tarjetas de cr\u00e9dito persistente y recopilar informaci\u00f3n de pago.<\/p>\n<p>La t\u00e9cnica furtiva, observada por Sucuri en la p\u00e1gina de pago de un sitio de comercio electr\u00f3nico de Magento, permiti\u00f3 que el malware sobreviviera a m\u00faltiples intentos de limpieza, dijo la compa\u00f1\u00eda.<\/p>\n<p>El skimmer est\u00e1 dise\u00f1ado para capturar todos los datos del formulario de tarjeta de cr\u00e9dito en el sitio web y filtrar los detalles a un dominio controlado por el atacante llamado &#8220;amazon-analytic&#8221;.[.]com&#8221;, que se registr\u00f3 en febrero de 2024.<\/p>\n<p>&#8220;Tenga en cuenta el uso del nombre de marca; esta t\u00e1ctica de aprovechar productos y servicios populares en nombres de dominio es utilizada a menudo por actores maliciosos en un intento de evadir la detecci\u00f3n&#8221;, dijo el investigador de seguridad Matt Morrow. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2024\/07\/attackers-abuse-swap-file-to-steal-credit-cards.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629215_517_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Este es solo uno de los muchos m\u00e9todos de evasi\u00f3n de defensa empleados por el actor de amenazas, que tambi\u00e9n incluye el uso de archivos de intercambio (&#8220;bootstrap.php-swapme&#8221;) para cargar el c\u00f3digo malicioso mientras se mantiene el archivo original (&#8220;bootstrap.php&#8221;) intacto y libre de malware.<\/p>\n<p>&#8220;Cuando los archivos se editan directamente a trav\u00e9s de SSH, el servidor crear\u00e1 una versi\u00f3n &#8216;swap&#8217; temporal en caso de que el editor falle, lo que evita que se pierda todo el contenido&#8221;, explic\u00f3 Morrow.<\/p>\n<p>&#8220;Se hizo evidente que los atacantes estaban aprovechando un archivo de intercambio para mantener el malware presente en el servidor y evadir los m\u00e9todos normales de detecci\u00f3n&#8221;.<\/p>\n<p>Aunque actualmente no est\u00e1 claro c\u00f3mo se obtuvo el acceso inicial en este caso, se sospecha que implic\u00f3 el uso de SSH o alguna otra sesi\u00f3n de terminal.<\/p>\n<p>La revelaci\u00f3n llega cuando cuentas de usuario administrador comprometidas en sitios de WordPress se est\u00e1n utilizando para instalar un complemento malicioso que se hace pasar por el complemento leg\u00edtimo de Wordfence, pero viene con capacidades para crear usuarios administradores no autorizados y deshabilitar Wordfence mientras da una falsa impresi\u00f3n de que todo est\u00e1 funcionando como se esperaba.<\/p>\n<p>&#8220;Para que el complemento malicioso se haya colocado en el sitio web en primer lugar, el sitio web ya deber\u00eda haber sido comprometido, pero este malware definitivamente podr\u00eda servir como un vector de reinfecci\u00f3n&#8221;, dijo el investigador de seguridad Ben Martin. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2024\/07\/new-variation-of-wordfence-evasion-malware.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;El c\u00f3digo malicioso solo funciona en p\u00e1ginas de la interfaz de administraci\u00f3n de WordPress cuya URL contiene la palabra &#8216;Wordfence&#8217; (p\u00e1ginas de configuraci\u00f3n del complemento de Wordfence)&#8221;.<\/p>\n<p>Se recomienda a los propietarios de sitios que restrinjan el uso de protocolos comunes como FTP, sFTP y SSH a direcciones IP confiables, as\u00ed como que se aseguren de que los sistemas de administraci\u00f3n de contenido y los complementos est\u00e9n actualizados.<\/p>\n<p>Tambi\u00e9n se recomienda a los usuarios habilitar la autenticaci\u00f3n de dos factores (2FA), utilizar un firewall para bloquear bots y aplicar wp-config.php adicional. <a rel=\"nofollow noopener\" href=\"https:\/\/developer.wordpress.org\/advanced-administration\/wordpress\/wp-config\/#disable-the-plugin-and-theme-editor\" target=\"_blank\">Implementaciones de seguridad<\/a> como DISALLOW_FILE_EDIT y DISALLOW_FILE_MODS.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/magento-sites-targeted-with-sneaky.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 de julio de 2024\ue804Sala de prensaDetecci\u00f3n de amenazas \/ Seguridad de sitios web Se ha observado que<\/p>\n","protected":false},"author":1,"featured_media":1288672,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1497,3428,4661,204496,4664,10335,4662,5510,4668,4667,166753,239182,11078,4654,239508,4658,4659,4653,231,4666,4665,3260,5502,239484],"class_list":["post-1288671","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archivos","tag-atacados","tag-ataques-ciberneticos","tag-clonador","tag-como-hackear","tag-credito","tag-filtracion-de-datos","tag-intercambio","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-magento","tag-malware-ransomware","tag-mediante","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-por","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sitios","tag-tarjetas","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1288671","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1288671"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1288671\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1288672"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1288671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1288671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1288671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}