Varios sistemas de gestión de contenido han sido atacados por un nuevo skimmer web de tarjetas de crédito llamado Cifrado César Skimmer. Este tipo de malware se inyecta en sitios de comercio electrónico con el fin de robar información financiera y de pago.
Según la empresa de ciberseguridad Sucuri, la última campaña consiste en realizar modificaciones maliciosas en el archivo PHP de pago asociado al plugin WooCommerce para WordPress («form-checkout.php») con el objetivo de robar detalles de tarjetas de crédito. El investigador de seguridad Ben Martin señaló que estas inyecciones se han modificado para parecer menos sospechosas, intentando hacerse pasar por Google Analytics y Google Tag Manager.
El skimmer utiliza el mismo método de sustitución que el cifrado César para ocultar el dominio externo que se utiliza para alojar la carga útil, codificando la pieza de código malicioso en una cadena confusa. Se presume que los sitios web fueron comprometidos anteriormente a través de otros medios, implementando un script PHP llamado «style.css» y «css.php» para imitar una hoja de estilo HTML y evadir la detección. Estos scripts cargan otro código JavaScript ofuscado que crea un WebSocket y se conecta a otro servidor para obtener el skimmer real.
El script envía la URL de las páginas web actuales, permitiendo a los atacantes enviar respuestas personalizadas para cada sitio infectado y, en algunas versiones, modificar la respuesta para usuarios de WordPress con sesión iniciada. Algunas versiones del script contienen explicaciones legibles para programadores escritas en ruso, sugiriendo que los actores de amenazas detrás de la operación hablan ruso.
Además del archivo form-checkout.php en WooCommerce, los atacantes también han utilizado el plugin legítimo WPCode para inyectar el skimmer en la base de datos del sitio web. En sitios que utilizan Magento, las inyecciones de JavaScript se realizan en tablas de la base de datos como core_config_data. Actualmente, no se conoce cómo los atacantes logran esto en sitios OpenCart.
Dado que WordPress y su amplio ecosistema de plugins son ampliamente utilizados como base para sitios web, se han convertido en un objetivo lucrativo para los actores maliciosos, permitiéndoles acceder fácilmente a una amplia superficie de ataque. Por lo tanto, es crucial que los propietarios de sitios web mantengan actualizado su software de CMS y plugins, apliquen buenas prácticas de seguridad en las contraseñas y realicen auditorías periódicas en busca de cuentas de administrador sospechosas.
Vía The Hacker News
