{"id":1652051,"date":"2025-04-03T07:01:51","date_gmt":"2025-04-03T07:01:51","guid":{"rendered":"https:\/\/teknomers.com\/es\/legacy-stripe-api-explotada-para-validar-tarjetas-de-pago-robadas-en-la-campana-de-skimmer-web\/"},"modified":"2025-04-03T07:01:56","modified_gmt":"2025-04-03T07:01:56","slug":"legacy-stripe-api-explotada-para-validar-tarjetas-de-pago-robadas-en-la-campana-de-skimmer-web","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/legacy-stripe-api-explotada-para-validar-tarjetas-de-pago-robadas-en-la-campana-de-skimmer-web\/","title":{"rendered":"Legacy Stripe API explotada para validar tarjetas de pago robadas en la campa\u00f1a de skimmer web"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 de abril de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciberseguridad \/ inteligencia de amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Legacy-Stripe-API-explotada-para-validar-tarjetas-de-pago-robadas.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los cazadores de amenazas advierten de una sofisticada campa\u00f1a de skimmer web que aprovecha una interfaz de programaci\u00f3n de aplicaciones heredadas (API) de la franja del procesador de pago para validar la informaci\u00f3n de pago robada antes de la exfiltraci\u00f3n.<\/p>\n<p>&#8220;Esta t\u00e1ctica asegura que solo se env\u00eden datos de tarjeta v\u00e1lidos a los atacantes, lo que hace que la operaci\u00f3n sea m\u00e1s eficiente y potencialmente m\u00e1s dif\u00edcil de detectar&#8221;, los investigadores de JSCrambler Pedro Fortuna, David Alves y Pedro Marrucho <a rel=\"noopener nofollow\" href=\"https:\/\/jscrambler.com\/blog\/stripe-api-skimming-campaign\" target=\"_blank\">dicho<\/a> en un informe.<\/p>\n<p>Se estima que hasta 49 comerciantes fueron afectados por la campa\u00f1a hasta la fecha. Quince de los sitios comprometidos han tomado medidas para eliminar las inyecciones de guiones maliciosos. Se eval\u00faa la actividad en curso desde al menos el 20 de agosto de 2024.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los detalles de la campa\u00f1a fueron <a rel=\"noopener nofollow\" href=\"https:\/\/sourcedefense.com\/resources\/sophisticated-eskimming-campaign-conceals-itself-by-leveraging-stripe-api\/\" target=\"_blank\">primero marcado<\/a> por la defensa de la fuente de la firma de seguridad hacia fines de febrero de 2025, detallando el uso del skimmer web del &#8220;<a rel=\"noopener nofollow\" href=\"https:\/\/docs.stripe.com\/api\/sources\" target=\"_blank\">api.stripe[.]com\/v1\/fuentes<\/a>&#8220;API, que permite que las solicitudes acepten varios m\u00e9todos de pago. El punto final se ha desactivado desde entonces a favor de la nueva API de pago de pagos.<\/p>\n<p>Las cadenas de ataque emplean dominios maliciosos como el punto de distribuci\u00f3n inicial para el skimmer de JavaScript que est\u00e1 dise\u00f1ado para interceptar y ocultar el formulario de pago leg\u00edtimo en las p\u00e1ginas de pago de pedidos, servir una r\u00e9plica de la pantalla de pago de rayas leg\u00edtimas, validarlo utilizando la API de fuentes, y luego transmitirlo a un servidor remoto en formato Base64-codificado.<\/p>\n<p>Jscrambler dijo que los actores de amenaza detr\u00e1s de la operaci\u00f3n probablemente aprovechen las vulnerabilidades y las configuraciones err\u00f3neas en WooCommerce, WordPress y Prestashop para implantar el gui\u00f3n de la etapa inicial. Este script de cargador sirve para descifrar y lanzar una pr\u00f3xima etapa codificada en Base64, que, a su vez, contiene la URL que apunta al Skimmer.<\/p>\n<p>&#8220;El gui\u00f3n de descremado esconde el iframe de rayas leg\u00edtimo y lo superpone con uno malicioso dise\u00f1ado para imitar su apariencia&#8221;, dijeron los investigadores. &#8220;Tambi\u00e9n clama el bot\u00f3n &#8216;Place Order&#8217;, ocultando el real&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Una vez que se exfiltran los detalles, los usuarios se muestran un mensaje de error, pidi\u00e9ndoles que vuelvan a cargar las p\u00e1ginas. Hay alguna evidencia que sugiere que la carga \u00fatil final de Skimmer se genera utilizando alg\u00fan tipo de herramienta debido al hecho de que el script parece estar adaptado a cada sitio dirigido.<\/p>\n<p>La compa\u00f1\u00eda de seguridad se\u00f1al\u00f3 adem\u00e1s que descubri\u00f3 guiones de skimmer que se sufra un formulario de pago cuadrado, lo que sugiere que los actores de amenaza probablemente se dirigen a varios proveedores de servicios de pago. Y eso no es todo. El c\u00f3digo de descremado tambi\u00e9n se ha observado agregando otras opciones de pago utilizando criptomonedas como Bitcoin, Ether (Ethereum), Tether y Litecoin.<\/p>\n<p>&#8220;Esta sofisticada campa\u00f1a de descremado web destaca las t\u00e1cticas en evoluci\u00f3n que usan los atacantes para permanecer sin ser detectados&#8221;, dijeron los investigadores. &#8220;Y como bono, filtran efectivamente datos de tarjeta de cr\u00e9dito no v\u00e1lidos, asegurando que solo se roben credenciales v\u00e1lidas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/legacy-stripe-api-exploited-to-validate.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 de abril de 2025\ue804Ravie LakshmananCiberseguridad \/ inteligencia de amenazas Los cazadores de amenazas advierten de una sofisticada<\/p>\n","protected":false},"author":1,"featured_media":1652052,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,4661,3372,4664,36019,273784,22491,273783,4654,273782,4659,4653,4655,1603,18,22045,246983,4665,246984,166755,17032,5502,65570,455,239484,3261],"class_list":["post-1652051","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-explotada","tag-las-noticias-del-hacker","tag-legacy","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-pago","tag-para","tag-robadas","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-skimmer","tag-stripe","tag-tarjetas","tag-validar","tag-violacion","tag-vulnerabilidad-del-software","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1652051","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1652051"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1652051\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1652052"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1652051"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1652051"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1652051"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}