Investigadores de seguridad de Sucuri han descubierto una nueva y sigilosa campaña de malware que afecta a sitios web de WordPress. Este malware, un skimmer de tarjetas de crédito, se introduce en la base de datos de los sitios y se activa en las páginas de pago para robar información confidencial de los usuarios.
Funcionamiento del Malware.
El malware se inyecta en la tabla wp_options de la base de datos de WordPress, específicamente en la fila option_name: widget_block, donde se almacena código JavaScript ofuscado. Al ocultarse en la base de datos, el malware evita ser detectado por las herramientas de escaneo de archivos comunes, lo que le permite operar de manera discreta en los sitios web comprometidos.
El código JavaScript malicioso se activa solo en las páginas de pago, verificando que la URL contenga la palabra «checkout» y excluyendo «cart». Una vez activado, el malware hace lo siguiente:
Crea un Formulario de Pago Falso: El malware puede inyectar un formulario de pago falso que imita a procesadores de pago legítimos como Stripe.
Secuestro de Formularios Existentes: Alternativamente, el malware puede interceptar los datos introducidos en formularios de pago existentes.
Captura de Datos: En ambos casos, el malware captura en tiempo real información como el número de tarjeta, fecha de expiración, CVV y datos de facturación.
Encriptación y Envío: Los datos robados se encriptan con Base64 y AES-CBC para ser enviados a un servidor remoto controlado por los atacantes. El malware usa navigator.sendBeacon para enviar los datos sin interrumpir la experiencia del usuario.
Dominios Maliciosos: Los datos son enviados a dominios externos valhafather[.]xyz | fqbe23[.]xyz
Dónde se aloja el código malicioso:
El código malicioso hace uso de los Widgets específicamente el «widget de bloque HTML» a través del panel de administración de WordPress. (wp-admin > widgets).
Impacto:
Robo de Información Financiera: El principal objetivo del malware es robar información de tarjetas de crédito para realizar transacciones fraudulentas o venderla en mercados clandestinos.
Operación Silenciosa: El malware opera en segundo plano sin alterar el proceso normal de pago, lo que hace difícil de detectar para los usuarios.
Como Mitigar el Malware:
Inspecciona los Widgets HTML: Revisa los Widgets de tu sitio web en busca de etiquetas de <script> sospechosas.
Actualizaciones: Manten tu WordPress actualizado, esto es clave para evitar vulnerabilidades.
Autenticación de Dos Factores: Utiliza la autenticación de dos factores y mantén las contraseñas robustas.
Monitoreo: Implementa un monitoreo de integridad de archivos para detectar cambios no autorizados.
Firewall: Implementa un firewall de aplicación web (WAF) para bloquear tráfico malicioso.
Este skimmer de tarjetas de crédito demuestra la evolución de las tácticas de los atacantes para ocultar malware en las bases de datos de WordPress y atacar los procesos de pago. Es crucial tomar medidas proactivas para proteger los sitios web y la información de los usuarios.
Si necesitas ayuda con la seguridad de tus sitios web, no dudes en contactarnos
Fuente: SuciriBlog
