Tarjeta con sorpresa: cómo una felicitación a los colegas resultó en el hackeo de sistemas corporativos

Ciberataques GroupGreeting zqxq JavaScript NDSW/NDSX TDS Parrot Malwarebytes tarjetas electrónicas felicitaciones código malicioso
Tarjeta con sorpresa: cómo una felicitación a los colegas resultó en el hackeo de sistemas corporativos
Ciberataques GroupGreeting zqxq JavaScript NDSW/NDSX TDS Parrot Malwarebytes tarjetas electrónicas felicitaciones código malicioso

Bajo la máscara del ambiente festivo, se escondía un ataque de phishing a gran escala.

image

La empresa GroupGreeting fue víctima de un ciberataque denominado «zqxq». Los expertos de Malwarebytes descubrieron una operación a gran escala similar a los ataques con malware NDSW/NDSX, dirigida a la popular plataforma que ofrece servicios de creación de tarjetas electrónicas.

La magnitud de la campaña es impresionante: los atacantes infectaron más de 2800 sitios web. Este tipo de ataques es especialmente frecuente durante períodos de alta demanda de los usuarios, como las fiestas de Año Nuevo, cuando muchas personas envían felicitaciones masivamente.

El malware utiliza JavaScript, un lenguaje presente en prácticamente todas las páginas web modernas. Los delincuentes insertaron un script disfrazado en elementos críticos del sitio, como temas o complementos. Este código realiza múltiples funciones: creación de tokens, redirección de usuarios a recursos externos, verificación de condiciones para eludir la protección y descarga de elementos maliciosos adicionales.

Las características del código, incluida la ofuscación de variables y el uso de funciones básicas para la decodificación, muestran que la campaña «zqxq» es similar a otros ataques importantes conocidos como NDSW/NDSX y TDS Parrot. Estos ataques se caracterizan por su sigilo y su capacidad para redirigir el tráfico a sitios maliciosos.

¿Por qué GroupGreeting fue el objetivo? El sitio atiende a más de 25 000 clientes corporativos, incluidas grandes empresas como Airbnb, Coca-Cola y eBay. Su alto nivel de confianza y el aumento del tráfico durante la temporada festiva hicieron que la plataforma fuera un objetivo atractivo para los atacantes.

Tras la infección, los dispositivos de los usuarios eran redirigidos a páginas de phishing o descargaban malware adicional, incluidos programas para el robo de datos o incluso ransomware.

Los expertos aconsejan actualizar las plataformas y complementos a tiempo, implementar sistemas de monitoreo de integridad de archivos y aumentar la conciencia de los usuarios sobre las posibles amenazas para minimizar los riesgos de ataques similares.

Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla

¡Únete a nosotros!

Noticias sobre el tema

RCE en Marvel Rivals: cómo el juego se convirtió en un troyano con derechos de administrador

2,8 millones de direcciones IP por día: el ataque global a dispositivos de red está ganando impulso

Amenaza de múltiples capas: Coyote evita la protección de Windows mediante atajos regulares

OTAN, ONU, ejército de EE.UU.: cómo un hacker español de 18 años hizo temblar a las agencias de inteligencia mundiales

Código en piloto automático: ViewState se ha convertido en un nuevo vector de ataques a servidores web

Un “no” rotundo: el 70% de las víctimas de ciberataques se niegan a aceptar el ransomware

Los piratas informáticos desenmascararon a los talibanes: 50 GB de secretos de estado filtrados en línea

JavaScript en sus términos: Brave implementa scriptlets para usuarios avanzados

Hackeo de la cuenta de la SEC: un solo tuit y el bitcóin se desplomó