Investigadores advierten sobre un malware sigiloso que roba información de pago de sitios WordPress

Las investigadoras de ciberseguridad en Sucuri están alertando a los propietarios de sitios web sobre un nuevo tipo de ciberataque dirigido a sitios de comercio electrónico de WordPress.

Este ataque, conocido como una campaña de skimming de tarjetas de crédito, está diseñado para robar secretamente la información de pago de los clientes. El malware opera en segundo plano, inyectando código malicioso en la base de datos de un sitio web de WordPress y comprometiendo las páginas de pago donde los clientes ingresan sus detalles de pago.

El malware es particularmente astuto porque no depende de infectar archivos de temas o complementos, que generalmente se escanean en busca de código malicioso. En cambio, se esconde dentro de la base de datos, lo que dificulta su detección.

Específicamente, el código malicioso está incrustado en la tabla “wp_options”, una parte crítica de la configuración de WordPress, como señaló Sucuri. Esto le permite evitar la detección por parte de las herramientas de seguridad comunes y permanecer en los sitios infectados sin ser perturbado.

Una vez que se activa el malware, este se dirige a la página de pago, donde los usuarios ingresan sus números de tarjeta de crédito, fechas de vencimiento y códigos CVV. El código malicioso busca la palabra “checkout” en la dirección web para asegurarse de que solo se ejecute en la página de pago, evitando que se active en otras partes del sitio.

O bien añade un formulario de pago falso o secuestra el existente, haciendo parecer como si los usuarios estuviesen introduciendo sus datos en un formulario legítimo de procesador de pagos, como Stripe.

A medida que los clientes ingresan la información de su tarjeta de crédito, el malware la captura en tiempo real. Para dificultar la detección de los datos robados, el malware confunde la información utilizando técnicas de codificación y cifrado, y luego la envía a servidores remotos controlados por el atacante.

Este proceso se realiza de manera silenciosa, por lo que los clientes no notarán nada inusual mientras completan sus compras. Los datos robados se venden luego en mercados clandestinos o se utilizan para transacciones fraudulentas, poniendo en riesgo tanto a los clientes como a las empresas.

Lo que hace que este ataque sea particularmente peligroso es que opera sin interrumpir el proceso de pago, por lo que los usuarios no se dan cuenta de que se están robando sus datos.

Los investigadores dicen que los propietarios de sitios web pueden protegerse revisando regularmente en busca de códigos sospechosos en el panel de administración de WordPress, específicamente en la sección “Widgets”. Deberían buscar códigos de JavaScript desconocidos que puedan indicar la presencia de malware.