Los expertos descubrieron un nuevo e-skimmer empleado en ataques MageCart contra sitios web de WordPress utilizando el complemento WooCommerce.
Los expertos de la firma de seguridad Sucuri descubrieron un nuevo software de e-skimmer que es diferente del malware similar utilizado en los ataques de Magecart. El nuevo software skimmed se empleó en ataques a la tienda electrónica basada en WordPress utilizando el complemento WooCommerce.
El e-skimmer no solo intercepta la información de pago proporcionada por los usuarios en los campos de una página de pago.
«Naturalmente, WooCommerce y otros sitios web de comercio electrónico basados en WordPress han sido atacados anteriormente, pero esto normalmente se ha limitado a modificaciones de los detalles de pago dentro de la configuración del complemento». «Por ejemplo, reenviar pagos al correo electrónico de PayPal del atacante en lugar del propietario legítimo del sitio web. Ver una tarjeta de crédito dedicada al deslizar malware en WordPress es algo bastante nuevo «.
Los expertos inicialmente realizaron un escaneo en el sitio web de un cliente y descubrieron puertas traseras genéricas y otro malware. Luego realizaron una verificación de integridad de los archivos principales y arrojaron luz sobre una parte de la infección.
La mayor parte del código JavaScript inyectado se descubrió cerca del final de un archivo JQuery legítimo («./wp-includes/js/jquery/jquery.js»).
«La mayoría de las inyecciones de JavaScript agregan el código al final del archivo, pero una peculiaridad que noté sobre esto fue que se insertó antes de que finalizara jQuery.noConflict ();» continúa el análisis
«No es tan fácil de ver. El hecho de que el malware se haya alojado dentro de un archivo ya existente y legítimo hace que sea un poco más difícil de detectar «.
La técnica es diferente de los ataques Magecart que emplean e-skimmers cargados desde un sitio web de terceros.
La parte del script que captura los detalles de la tarjeta se inyectó en el archivo «./wp-includes/rest-api/class-wp-rest-api.php».
«Como es típico en el malware PHP, se emplean varias capas de codificación y concatenación en un intento de evitar la detección y ocultar su código central del webmaster promedio», continúa la publicación.
El software malicioso recoge los detalles de pago y guarda los números de tarjeta y los códigos de seguridad CVV en texto plano en forma de cookies. El script luego utiliza la función legítima file_put_contents para almacenarlos en dos archivos de imagen separados (un archivo .PNG y un JPEG) que se mantienen en la estructura de directorios wp-content/uploads.
En el momento del análisis, ambos archivos no contenían datos robados, una circunstancia que sugiere que el malware tenía la capacidad de borrar automáticamente los archivos una vez que los atacantes habían adquirido la información.
«Con WooCommerce recientemente superando a todas las demás plataformas de comercio electrónico en popularidad, era solo cuestión de tiempo antes de que empezáramos a ver a los atacantes atacar esta plataforma con más frecuencia», continúa Security.
WooCommerce dijo que este fue el primer caso de este tipo de malware de robo de tarjetas dirigido a WordPress que encontró, pero que han aparecido muchos más desde entonces, y que «los sitios web de WordPress con funciones de comercio electrónico y transacciones en línea seguramente continuarán». ser objetivo en el futuro «.
En abril de 2019, la empresa de seguridad de WordPress «Plugin Vulnerabilities» descubrió una vulnerabilidad crítica en el complemento de WooCommerce que expuso a los sitios web de comercio electrónico basados en WordPress para piratear.
La vulnerabilidad afecta al complemento WooCommerce Checkout Manager que permite a los propietarios de sitios web de comercio electrónico basados en WordPress y ejecutar el complemento WooCommerce personalizar formularios en sus páginas de pago.
Los expertos descubrieron una vulnerabilidad de «carga arbitraria de archivos» que puede ser explotada por atacantes remotos no autenticados cuando los sitios web tienen habilitada la opción «Categorizar archivos cargados» dentro de la configuración del complemento WooCommerce Checkout Manager.
Los expertos de Sucuri recomiendan que los administradores de sitios de WordPress deshabiliten la edición directa de archivos para wp-admin agregando la siguiente línea a su archivo wp-config.php:
define( ‘DISALLOW_FILE_EDIT’, true );
“Esto incluso evita que los usuarios administradores puedan editar directamente archivos desde el panel de control de wp-admin. En el caso de una cuenta de administrador comprometida, esto puede marcar la diferencia entre el atacante que entrega su carga útil o no «. concluye Sucuri.
Si tiene alguna duda o sugerencia no deje de comentar debajo o mediante el formulario de contacto. Si está interesado en mejoras a su sitio web, o un análisis de seguridad también.