Investigadores en ciberseguridad han descubierto una importante campaña de skimming web activa desde enero de 2022, que tiene como objetivo redes de pago prominentes como American Express, Mastercard y otros. Esta actividad maliciosa se inscribe dentro de una categoría de ataques conocida como Magecart, que inicialmente estaba centrada en sitios que utilizaban la plataforma Magento, pero ha diversificado su alcance, afectando ahora a diversos portales de comercio electrónico.
Sofisticada amenaza
El ataque consiste en comprometer sitios legítimos de comercio electrónico e inyectar código JavaScript malicioso que roba información sensible de tarjetas de crédito y otros datos personales durante el proceso de pago. Los investigadores de Silent Push identificaron esta campaña tras analizar un dominio sospechoso asociado con un proveedor de hosting conocido por su actividad ilícita, el cual ha tratado de eludir sanciones al cambiar de nombre.
El dominio en cuestión alberga cargas de JavaScript altamente ofuscadas diseñadas para facilitar el skimming de tarjetas de crédito. Este skimmer tiene la capacidad de evitar la detección por parte de administradores de sitio, ya que verifica la estructura del Documento Object Model en busca de elementos específicos que indican que un usuario administrador está presente. Si detecta la presencia de estos elementos, inicia una secuencia de autodestrucción para eliminar cualquier rastro de su código.
Además, el skimmer puede manipular los formularios de pago. Si identifica que Stripe fue seleccionado como método de pago, la amenaza crea un formulario falso que engaña a las víctimas a ingresar su información de tarjeta de crédito, lo que incluye el código de verificación CVC y las fechas de expiración. Al terminar el proceso, los datos robados son enviados a un servidor designado, lo que pone en riesgo la información personal de los usuarios.
Esta sofisticada operación pone de manifiesto el nivel de conocimiento que los atacantes poseen sobre las características de WordPress, integrando incluso funciones menos conocidas en su cadena de ataque, lo que plantea serias preocupaciones para las empresas que gestionan tiendas online.