- Sucuri encontró código malicioso incrustado en sitios de WordPress
- El código recopila información de pago y la genera desde sitios de comercio electrónico.
- Los investigadores advierten a los administradores de sitios web de WordPress que verifiquen todo el código personalizado
Los ciberdelincuentes vuelven a atacar WordPress Sitios web que contienen estafadores de tarjetas de crédito, robando información de pago confidencial de la víctima en el proceso.
Esta vez, la empresa que hace sonar la alarma es Sucuri, cuyo investigador Puja Srivastava publicó recientemente un nuevo análisis del ataque, sugiriendo que los delincuentes están apuntando a WordPress. Comercio electrónico Sitios web, inyectando código JavaScript malicioso en una tabla de base de datos asociada con un sistema de gestión de contenidos (CMS).
Este script abre el skimmer de la tarjeta de crédito cuando la víctima está a punto de ingresar información de pago.
“el malware “Se activa especialmente en las páginas de pago, ya sea secuestrando campos de pago existentes o ingresando un formulario de tarjeta de crédito falso”, dijo el investigador.
El skimmer anónimo está diseñado para robar toda la información de pago necesaria para las transacciones en línea: números de tarjetas de crédito, fechas de vencimiento, números CVV e información de facturación.
Los ciberdelincuentes suelen utilizar información de tarjetas de crédito robadas para financiar campañas publicitarias maliciosas en plataformas de redes sociales, comprar malware o malware como servicio (MaaS) o comprar tarjetas de regalo porque son difíciles de rastrear.
El skimmer también puede capturar datos ingresados en pantallas de pago legítimas en tiempo real, maximizando así el cumplimiento, agregó Socuri.
Toda la información adquirida se cifra en Base64 y se combina con el cifrado AES-CBC para integrarse con el tráfico normal. Después de eso, se transfiere a un servidor bajo el control del atacante (ya sea “valhafather[.]xyz” o “fqbe23[.]xyz”).
Para eliminar malware, Sucuri sugiere escanear todas las herramientas HTML personalizadas. Esto se puede hacer iniciando sesión en su panel de administración de WordPress, yendo a wp-admin > Apariencia > Widgets y verificando todos los widgets de bloques HTML personalizados en busca de etiquetas sospechosas o desconocidas. Los investigadores también sugirieron medidas de mitigación, que incluyen actualizaciones periódicas, administración de cuentas de administrador, monitoreo de la integridad de los archivos y ejecución de un firewall de aplicaciones web.
Parece que los raspadores están ganando popularidad nuevamente. Hace menos de tres semanas, Agencia Espacial Europea Se descubrió que albergaba este tipo de código malicioso, que robaba datos de pago, incluida información confidencial de tarjetas de crédito, de innumerables víctimas.
a través de Noticias de piratas informáticos