Meta Pixel
Sin categoría

Descubierto una operación de skimming de tarjetas de crédito en un falso script de Meta Pixel

Investigadores de ciberseguridad han descubierto una operación de skimming de tarjetas de crédito altamente sofisticada, disfrazada dentro de un script que imita al rastreador Meta Pixel, revelando un método avanzado para evadir la detección. Este malware ha sido inyectado en sitios web a través de herramientas que permiten código personalizado, como los plugins de WordPress tales como Simple Custom CSS and JS, o la sección «Miscellaneous Scripts» del panel de administración de Magento.

Infiltración y Mecanismo de Acción

El uso de editores de scripts personalizados es una táctica común entre los actores de amenazas debido a que permiten la inserción de JavaScript externo. Estos pueden camuflarse fácilmente para parecer inofensivos adoptando nombres que imitan scripts populares como Google Analytics o bibliotecas como JQuery, explicó el investigador de seguridad, Matt Morrow. La imitación del script de Meta Pixel descubierta por la compañía de seguridad web contiene elementos similares a su contraparte legítima, pero un examen más detallado revela código JavaScript adicional que sustituye las referencias al dominio legítimo «connect.facebook[.]net» por «b-connected[.]com».

El Engaño y la Captura de Datos

Mientras que «connect.facebook[.]net» es un dominio auténtico vinculado a la funcionalidad de rastreo de Pixel, el dominio sustituto se utiliza para cargar un script malicioso adicional («fbevents.js»). Este script supervisa si la víctima se encuentra en una página de pago y, en caso afirmativo, presenta una superposición fraudulenta para capturar detalles de tarjetas de crédito. Es importante mencionar que «b-connected[.]com» es un sitio web de comercio electrónico legítimo que fue comprometido en algún momento para alojar el código del skimmer.

Exfiltración de Datos

La información ingresada en el formulario falso es exfiltrada hacia otro sitio comprometido («www.donjuguetes[.]es»). Para mitigar tales riesgos, se recomienda mantener los sitios actualizados, revisar periódicamente las cuentas de administrador para determinar si todas son válidas y actualizar las contraseñas con frecuencia.

Vulnerabilidades y Prevención

Los actores de amenazas aprovechan contraseñas débiles y fallos en los plugins de WordPress para obtener acceso elevado a un sitio objetivo y añadir usuarios administradores fraudulentos. Estos son utilizados para realizar diversas actividades, incluyendo la adición de plugins adicionales y puertas traseras.

Detectando el Malware

«Debido a que los ladrones de tarjetas de crédito a menudo esperan palabras clave como ‘checkout’ o ‘onepage’, es posible que no se hagan visibles hasta que se cargue la página de pago», señaló Morrow. Dado que la mayoría de las páginas de pago se generan dinámicamente basadas en datos de cookies y otras variables pasadas a la página, estos scripts evaden los escáneres públicos y la única forma de identificar el malware es revisar el código fuente de la página o monitorear el tráfico de red.

Desarrollos Recientes y Atención Futura

Este descubrimiento llega mientras Sucuri también reveló que los sitios construidos con WordPress y Magento son el objetivo de otro malware llamado Magento Shoplift. Las variantes anteriores de Magento Shoplift se han detectado en el medio desde septiembre de 2023, iniciando la cadena de ataque con la inyección de un fragmento de JavaScript ofuscado en un archivo JavaScript legítimo.

Este escenario resalta la necesidad imperiosa de una vigilancia constante y la implementación de medidas de seguridad robustas en los sistemas de gestión de contenido, especialmente aquellos que soportan funciones de comercio electrónico, para proteger tanto a los comerciantes como a los consumidores de las crecientes amenazas en el panorama de la ciberseguridad.

Tags:

No responses yet

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *