Un plugin de WordPress llamado WooCommerce está infectado con un script de Magecart para robar tarjetas de crédito

 

Cada vez hay maneras más ingeniosas de robar dinero por Internet. Uno de los elementos más buscados por los hackers son las tarjetas de crédito online, ya que pueden realizar robos de cientos de euros rápidamente antes de que el dueño se dé cuenta, o también venden esos datos para que sean otros quienes los usen para robar. Ahora, han conseguido robarlos simplemente accediendo a una web escondiendo la información en un icono.

Así lo ha revelado un informe elaborado por Malwarebytes, donde una tienda que usaba un plugin de WordPress llamado WooCommerce estaba infectado con un script de Magecart para robar tarjetas. Los ataques de Magecart consisten precisamente en eso: inyectar JavaScript malicioso en una web para robar información de pago de los usuarios en el proceso de compra.

Esconden el código malicioso dentro de un favicon

Lo que diferencia a este ataque de otros ya conocidos es que el script no se inyectaba directamente en el código de la web, sino en los metadatos EXIF de un favicon de la web. En los metadatos se suele guardar información como el creador del archivo, la fecha de creación o la cámara o PC donde fue creada o procesada la foto. Sin embargo, en la parte de Copyright de los metadatos del icono se incluía el código JavaScript malicioso, como podemos ver en la siguiente imagen:

Una vez el script era ejecutado en el navegador de un usuario, cualquier información de la tarjeta de crédito introducida en el proceso de compra era enviado de vuelta a los atacantes para hacer con ella lo que quisieran. El grupo que ha sido asociado con este ataque es el bautizado como «Magecart Group 9«.

Los datos que se enviaban de vuelta también iban ocultos en imágenes
Otro punto peligroso de este ataque es que el favicon estaba alojado en un dominio externo, por lo que un análisis de seguridad de la página web de venta no habría arrojado ninguna alerta. Así, recibían información como el nombre o la dirección de envío del pedido realizado, y todo se volvía a introducir en imágenes mediante solicitudes POST, haciendo aún más difícil detectar el envío de información a un servidor controlado por los hackers.


malware favicon

Esta no es la primera vez que un plugin malicioso de WordPress ha estado involucrado en este tipo de ataques. Hace unos meses, se descubrió también un bug en WooCommerce que permitía a los atacantes ejecutar cargas XSS para crear cuentas con permisos de administrador en los dominios vulnerables. Por tanto, os recomendamos encarecidamente que no utilicéis ese plugin.

 

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies