Un plugin de WordPress llamado WooCommerce está infectado con un script de Magecart para robar tarjetas de crédito

Cada vez hay maneras más ingeniosas de robar dinero por Internet. Uno de los elementos más buscados por los hackers son las tarjetas de crédito online, ya que pueden realizar robos de cientos de euros rápidamente antes de que el dueño se dé cuenta, o también venden esos datos para que sean otros quienes los usen para robar. Ahora, han conseguido robarlos simplemente accediendo a una web escondiendo la información en un icono.

Así lo ha revelado un informe elaborado por Malwarebytes, donde una tienda que usaba un plugin de WordPress llamado WooCommerce estaba infectado con un script de Magecart para robar tarjetas. Los ataques de Magecart consisten precisamente en eso: inyectar JavaScript malicioso en una web para robar información de pago de los usuarios en el proceso de compra.

Esconden el código malicioso dentro de un favicon

Lo que diferencia a este ataque de otros ya conocidos es que el script no se inyectaba directamente en el código de la web, sino en los metadatos EXIF de un favicon de la web. En los metadatos se suele guardar información como el creador del archivo, la fecha de creación o la cámara o PC donde fue creada o procesada la foto. Sin embargo, en la parte de Copyright de los metadatos del icono se incluía el código JavaScript malicioso, como podemos ver en la siguiente imagen:

Una vez el script era ejecutado en el navegador de un usuario, cualquier información de la tarjeta de crédito introducida en el proceso de compra era enviado de vuelta a los atacantes para hacer con ella lo que quisieran. El grupo que ha sido asociado con este ataque es el bautizado como «Magecart Group 9«.

Los datos que se enviaban de vuelta también iban ocultos en imágenes

Otro punto peligroso de este ataque es que el favicon estaba alojado en un dominio externo, por lo que un análisis de seguridad de la página web de venta no habría arrojado ninguna alerta. Así, recibían información como el nombre o la dirección de envío del pedido realizado, y todo se volvía a introducir en imágenes mediante solicitudes POST, haciendo aún más difícil detectar el envío de información a un servidor controlado por los hackers.

malware favicon

Esta no es la primera vez que un plugin malicioso de WordPress ha estado involucrado en este tipo de ataques. Hace unos meses, se descubrió también un bug en WooCommerce que permitía a los atacantes ejecutar cargas XSS para crear cuentas con permisos de administrador en los dominios vulnerables. Por tanto, os recomendamos encarecidamente que no utilicéis ese plugin.

Ver información original al respecto en Fuente>