- Sucuri encuentra código malicioso incrustado en sitios de WordPress
- El código recopila y extrae información de pago de sitios de comercio electrónico.
- Los investigadores advierten a los administradores del sitio de WordPress que verifiquen todo el código personalizado
Una vez más, los ciberdelincuentes atacan los sitios de WordPress con skimmers de tarjetas de crédito, robando la información de pago confidencial de la víctima.
Esta vez, la empresa que hace sonar la alarma es Sucuri, cuyo investigador Puja Srivastava publicó recientemente un nuevo análisis del ataque, señalando que los delincuentes están apuntando a sitios de comercio electrónico WordPress, insertando código JavaScript malicioso en una tabla de base de datos asociada con el sistema de gestión de contenidos ( CMS).
Este script abre el skimmer de la tarjeta de crédito justo cuando la víctima está a punto de ingresar la información de pago.
“El malware se activa específicamente en las páginas de pago, ya sea secuestrando campos de pago existentes o inyectando un formulario de tarjeta de crédito falso”, dijo el investigador.
El dron sin nombre fue construido para robar toda la información de pago necesaria para las transacciones en línea: números de tarjetas de crédito, fechas de vencimiento, números CVV e información de facturación.
Los ciberdelincuentes suelen utilizar información de tarjetas de crédito robadas para financiar campañas maliciosas en plataformas de redes sociales, comprar malware o malware como servicio (MaaS) o comprar tarjetas de regalo porque son difíciles de rastrear.
Sucuri añadió que el dron también puede capturar datos ingresados en pantallas de pago legítimas en tiempo real, maximizando así el cumplimiento.
Toda la información adquirida está codificada en Base64 y combinada con cifrado AES-CBC, para integrarse con el tráfico normal. Luego se reenvía a un servidor controlado por el atacante (ya sea “valhafather(.)xyz” o “fqbe23(.)xyz”).
Para eliminar el malware, Sucuri sugiere comprobar todos los widgets HTML personalizados. Esto se puede hacer iniciando sesión en su panel de administración de WordPress, navegando a wp-admin > Apariencia > Widgets y verificando todos los widgets de bloqueo HTML personalizados en busca de etiquetas sospechosas o desconocidas. Los investigadores también sugirieron medidas de mitigación, que incluyen actualizaciones periódicas, administrar una cuenta de administrador, monitorear la integridad de los archivos y ejecutar un firewall de aplicaciones web.
El vuelo sin motor parece estar ganando popularidad nuevamente. Hace menos de tres semanas, se descubrió que la Agencia Espacial Europea alojaba este tipo de código malicioso, que robaba datos de pago, incluida información confidencial de tarjetas de crédito, de innumerables víctimas.
a través de noticias de piratas informáticos
