WooCommerce, objetivo de un nuevo skimmer
WooCommerce es, sin lugar a dudas, una de las principales opciones a la hora de crear una tienda online dentro de un sitio creado en WordPress. Y es que, desde hace ya unos cuantos años, la gran cantidad de opciones de personalización que ofrece o, dicho de otro modo, su versatilidad, hacen que destaque por encima de otras muchas opciones existentes para la puesta en marcha de un sitio de e-commerce. ¿El problema? El de siempre, claro, obtener fama y reconocimiento te pone en el punto de mira de los ciberdelincuentes.
Esto no es algo nuevo, desde luego. Hace ya años que se sabe de ataques, principalmente de fuerza bruta, para intentar acceder al backend de los comercios online y, una vez allí, realizar cuantas acciones maliciosas estén a su alcance. Un tipo de ataque que, afortunadamente, tomando las medidas oportunas puede ser repelido sin demasiadas complicaciones. Y algo similar ocurre los intentos de redirigir a los usuarios a cuentas controladas por atacantes. Puede ser un método efectivo, pero es relativamente fácil combatirlos.
Desde hace algún tiempo, sin embargo, grupos como Magecart están trabajando en técnicas mucho más sofisticadas, cuyo objetivo pasa por emular los temibles skimmers (duplicadores de tarjetas de crédito empleados para clonarlas posteriormente), introduciendo fragmentos de código en los sitios atacados, con el fin de obtener todos los datos sobre los medios de pago empleados en tiendas con WooCommerce, según una investigación llevada a cabo por Sucuri.
Según Ben Martin, investigador de la compañía, estamos ante una modalidad de ataque bastante novedosa, que solo fue detectada al producirse cargos fraudulentos en tarjetas que, previamente, habían sido utilizadas en determinadas páginas web que emplean WooCommerce. Una verificación de integridad de todos los archivos principales en las tiendas electrónicas afectadas reveló archivos maliciosos en la estructura de esas páginas. Archivos que presentaban código agregado al final de archivos javascript aparentemente inofensivos.
La propia naturaleza del código en JS, hace que navegar por su contenido no sea de lo más sencillo. Dicho de otra manera, es razonablemente sencillo ofuscar elementos de código malicioso entre las partes legítimas del mismo. Por su parte, en lo referido a PHP, el investigador afirma que se recurre a un modelo multicapa con concatenación. De esta manera se hace más difícil la identificación visual de las modificaciones introducidas en el código original.
¿Y qué tiene de nuevo este skimmer con respecto a intentos anteriores en este sentido? Eso es lo más preocupante. Hasta ahora, todos los ataques de este tipo se basaban en sitios de terceras partes cuya seguridad se había visto comprometida. Es decir, que código necesario para llevar a cabo la clonación de la tarjeta se encontraba siempre alojados en otros servidores y servicios. Sin embargo, en esta ocasión, el skimmer se encontraba, directamente, en los archivos principales de la instalación de WooCommerce afectada.
Una vez que el skimmer había obtenido los datos de una tarjeta, y con el fin de evitar sospechas por tráfico saliente sospechoso, lo que hacía crear dos archivos de imagen que se guardaban en el directorio wp-content/upload. Posteriormente, y enmascarada en una petición normal de recursos de la web, los delincuentes descargaban esos archivos y empleaban la información contenida en los mismos para realizar cargos fraudulentos en las tarjetas afectadas.
Otra inteligente medida adoptada por sus creadores, es que este skimmer es capaz de borrar sus propias huellas, ya que elimina los archivos que hemos mencionado antes. No hay constancia de si lo hace de manera automática, transcurrido un determinado plazo, o cuenta con algún mecanismo de control que detecta que ya ha sido descargado y procede a su borrado. Así, es probable que, aunque se revise la carpeta uploads de un sitio con WooCommerce afectado, no se puedan encontrar estas pruebas.
La entrada WooCommerce, objetivo de un nuevo skimmer es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico