Los investigadores de ciberseguridad advierten sobre una nueva campa\u00f1a sigilosa de skimmer de tarjetas de cr\u00e9dito que apunta a las p\u00e1ginas de pago de comercio electr\u00f3nico de WordPress mediante la inserci\u00f3n de c\u00f3digo JavaScript malicioso en una tabla de base de datos asociada con el sistema de gesti\u00f3n de contenido (CMS).<\/p>\n
“Este malware skimmer de tarjetas de cr\u00e9dito dirigido a sitios web de WordPress inyecta silenciosamente JavaScript malicioso en las entradas de la base de datos para robar detalles de pago confidenciales”, dijo el investigador de Sucuri, Puja Srivastava. dicho<\/a> en un nuevo an\u00e1lisis.<\/p>\n “El malware se activa espec\u00edficamente en las p\u00e1ginas de pago, ya sea secuestrando campos de pago existentes o inyectando un formulario de tarjeta de cr\u00e9dito falso”.<\/p>\n La empresa de seguridad de sitios web propiedad de GoDaddy dijo que descubri\u00f3 el malware incrustado en WordPress. tabla wp_options<\/a> con la opci\u00f3n “widget_block”, lo que le permite evitar la detecci\u00f3n por herramientas de escaneo y persistir en sitios comprometidos sin llamar la atenci\u00f3n.<\/p>\n Al hacerlo, la idea es insertar el JavaScript malicioso en un widget de bloque HTML a trav\u00e9s del panel de administraci\u00f3n de WordPress (wp-admin > widgets).<\/p>\n El c\u00f3digo JavaScript funciona verificando si la p\u00e1gina actual es una p\u00e1gina de pago y garantiza que entre en acci\u00f3n solo despu\u00e9s de que el visitante del sitio est\u00e9 a punto de ingresar sus detalles de pago, momento en el cual crea din\u00e1micamente una pantalla de pago falsa que imita a los procesadores de pagos leg\u00edtimos. como Raya.<\/p>\n El formulario est\u00e1 dise\u00f1ado para capturar los n\u00fameros de tarjetas de cr\u00e9dito, fechas de vencimiento, n\u00fameros CVV e informaci\u00f3n de facturaci\u00f3n de los usuarios. Alternativamente, el script malicioso tambi\u00e9n es capaz de capturar datos ingresados \u200b\u200ben pantallas de pago leg\u00edtimas en tiempo real para maximizar la compatibilidad.<\/p>\n Posteriormente, los datos robados se codifican en Base64 y se combinan con el cifrado AES-CBC para que parezcan inofensivos y resistan los intentos de an\u00e1lisis. En la etapa final, se transmite a un servidor controlado por el atacante (“valhafather[.]xyz” o “fqbe23[.]xyz”).<\/p>\n El desarrollo llega m\u00e1s de un mes despu\u00e9s de Sucuri. resaltado<\/a> una campa\u00f1a similar que aprovech\u00f3 el malware JavaScript para crear din\u00e1micamente formularios de tarjetas de cr\u00e9dito falsos o extraer datos ingresados \u200b\u200ben los campos de pago en las p\u00e1ginas de pago.<\/p>\n Luego, la informaci\u00f3n recopilada se somete a tres capas de ofuscaci\u00f3n: primero se codifica como JSON, se cifra con XOR con la clave “script” y, finalmente, se utiliza codificaci\u00f3n Base64, antes de exfiltrarla a un servidor remoto (“staticfonts”).[.]com”).<\/p>\n “El script est\u00e1 dise\u00f1ado para extraer informaci\u00f3n confidencial de la tarjeta de cr\u00e9dito de campos espec\u00edficos en la p\u00e1gina de pago”, se\u00f1al\u00f3 Srivastava. “Luego, el malware recopila datos adicionales del usuario a trav\u00e9s de las API de Magento, incluido el nombre del usuario, la direcci\u00f3n, el correo electr\u00f3nico, el n\u00famero de tel\u00e9fono y otra informaci\u00f3n de facturaci\u00f3n. Estos datos se recuperan a trav\u00e9s de los modelos de cotizaci\u00f3n y datos del cliente de Magento”.<\/p>\n La divulgaci\u00f3n tambi\u00e9n sigue al descubrimiento de una campa\u00f1a de correo electr\u00f3nico de phishing con motivaci\u00f3n financiera que enga\u00f1a a los destinatarios para que hagan clic en las p\u00e1ginas de inicio de sesi\u00f3n de PayPal con el pretexto de una solicitud de pago pendiente por una suma de casi $2,200.<\/p>\n “Parece que el estafador simplemente registr\u00f3 un dominio de prueba de Microsoft 365, que es gratuito durante tres meses, y luego cre\u00f3 una lista de distribuci\u00f3n (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) que contiene correos electr\u00f3nicos de las v\u00edctimas”, Carl Windsor de Fortinet FortiGuard Labs dicho<\/a>. “En el portal web de PayPal simplemente solicitan el dinero y agregan como direcci\u00f3n la lista de distribuci\u00f3n”.<\/p>\n Lo que hace que la campa\u00f1a sea enga\u00f1osa es el hecho de que los mensajes se originan en una direcci\u00f3n leg\u00edtima de PayPal (servicio@paypal.com) y contienen una URL de inicio de sesi\u00f3n genuina, lo que permite que los correos electr\u00f3nicos eludan las herramientas de seguridad.<\/p>\n Para empeorar las cosas, tan pronto como la v\u00edctima intenta iniciar sesi\u00f3n en su cuenta PayPal para solicitar el pago, su cuenta se vincula autom\u00e1ticamente a la direcci\u00f3n de correo electr\u00f3nico de la lista de distribuci\u00f3n, lo que permite al actor de amenazas secuestrar el control de la cuenta.<\/p>\n En las \u00faltimas semanas, tambi\u00e9n se ha observado que actores maliciosos aprovechan una t\u00e9cnica novedosa llamada suplantaci\u00f3n de simulaci\u00f3n de transacciones para robar criptomonedas de las billeteras de las v\u00edctimas.<\/p>\n “Las billeteras Web3 modernas incorporan la simulaci\u00f3n de transacciones como una caracter\u00edstica f\u00e1cil de usar”, Scam Sniffer dicho<\/a>. “Esta capacidad permite a los usuarios obtener una vista previa del resultado esperado de sus transacciones antes de firmarlas. Si bien est\u00e1 dise\u00f1ada para mejorar la transparencia y la experiencia del usuario, los atacantes han encontrado formas de explotar este mecanismo”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Los-skimmers-de-WordPress-evaden-la-deteccion-inyectandose-en-tablas.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n