26 de junio de 2024Sala de prensaWeb Skimming / Seguridad de sitios web Varias plataformas de sistemas de gestión de contenido (CMS) como WordPress, Magento y OpenCart han sido el objetivo de un nuevo web skimmer de tarjetas de crédito llamado Caesar Cipher Skimmer. Un web skimmer se refiere a un malware que se inyecta en sitios de comercio electrónico con el objetivo de robar información financiera y de pago. Según Sucuri, la última campaña implica realizar modificaciones maliciosas en la página PHP de pago asociada con el complemento WooCommerce para WordPress («form-checkout.php») para robar detalles de tarjetas de crédito. «Durante los últimos meses, las inyecciones se han modificado para que parezcan menos sospechosas que un script largo y ofuscado», dijo el investigador de seguridad Ben Martin, señalando el intento del malware de hacerse pasar por Google Analytics y Google Tag Manager. Específicamente, emplea el mismo mecanismo de sustitución empleado en el cifrado César para codificar el fragmento de código malicioso en una cadena ilegible y ocultar el dominio externo que se utiliza para alojar la carga útil. Se presume que todos los sitios web han sido previamente comprometidos a través de otros medios para preparar un script PHP que lleva los nombres «style.css» y «css.php» en un aparente esfuerzo por imitar una hoja de estilo HTML y evadir la detección. Estos scripts, a su vez, están diseñados para cargar otro código JavaScript ofuscado que crea un WebSocket y se conecta a otro servidor para obtener el skimmer real. «El script envía la URL de las páginas web actuales, lo que permite a los atacantes enviar respuestas personalizadas para cada sitio infectado», señaló Martin. «Algunas versiones del script de segunda capa incluso comprueban si lo ha cargado un usuario de WordPress conectado y modifican la respuesta para ellos». Algunas versiones del script tienen explicaciones legibles para programadores (también conocidos como comentarios) escritas en ruso, lo que sugiere que los actores de la amenaza detrás de la operación hablan ruso. El archivo form-checkout.php en WooCommerce no es el único método utilizado para implementar el skimmer, ya que también se ha detectado que los atacantes hacen un mal uso del complemento legítimo WPCode para inyectarlo en la base de datos del sitio web. En los sitios web que utilizan Magento, las inyecciones de JavaScript se realizan en tablas de bases de datos como core_config_data. Actualmente, no se sabe cómo se logra esto en los sitios OpenCart. Debido a su uso predominante como base para sitios web, WordPress y el ecosistema de complementos más amplio se han convertido en un objetivo lucrativo para actores maliciosos, lo que les permite un fácil acceso a una amplia superficie de ataque. Es imperativo que los propietarios de sitios mantengan actualizado su software CMS y complementos, apliquen la higiene de contraseñas y los auditen periódicamente para detectar la presencia de cuentas de administrador sospechosas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.