Script "invisible" activado: los administradores no lo verán; compradores, adiós a su dinero

Una campaña encubierta de interceptación de datos de tarjetas bancarias en páginas de pago en línea operó durante casi dos años sin ser detectada. Los atacantes apuntaron a clientes de los principales sistemas de pago, incluyendo American Express, Mastercard, Discover, Diners Club, JCB y UnionPay. El alcance del ataque se descubrió recientemente, cuando especialistas de Silent Push investigaron una actividad anómala relacionada con dominios controlados por un proveedor de hosting propiedad de la empresa holandesa WorkTitans B.V.

Durante el ataque, los atacantes incrustaron código JavaScript malicioso en las páginas de pago de tiendas online legítimas. Ese código se activaba al tramitar el pedido, interceptando los datos introducidos por los usuarios: números de tarjeta, fechas de caducidad, códigos CVC, así como nombres, direcciones de envío, teléfonos y correos electrónicos. La información obtenida se enviaba después a un servidor remoto mediante una petición HTTP.

Una característica de este ataque fue el uso del dominio «cdn-cookie[.]com», donde se alojaban scripts cifrados, incluidos «recorder.js» y «tab-gtm.js». Estos componentes eran cargados por las tiendas web y facilitaban el funcionamiento oculto del esquema malicioso. Uno de los principales mecanismos para evitar la detección era comprobar la presencia en la página del elemento «wpadminbar», característico del panel de administración de WordPress. Si se detectaba ese elemento, el script malicioso se autodestruía de inmediato.

El script se adaptaba a distintos métodos de pago. Por ejemplo, al seleccionar Stripe se comprobaba la presencia de una bandera especial en el almacenamiento del navegador: el elemento «wc_cart_hash». Si faltaba, el usuario veía un formulario de pago falso, estilizado como el real. Tras introducir los datos se simulaba un error, como si los datos fueran incorrectos, mientras la información se enviaba a los atacantes. Después se establecía la bandera para no repetir el ataque contra el mismo usuario.

La campaña detectada muestra un alto grado de desarrollo técnico. Los atacantes estudiaron en profundidad la arquitectura de WordPress, incluidas características poco conocidas, e integraron esos detalles en la secuencia del ataque. El hosting donde se alojaban los componentes maliciosos perteneció anteriormente a la organización Stark Industries y a su empresa matriz PQ.Hosting, pero luego cambió su nombre a THE[.]Hosting — probablemente para eludir sanciones.

La campaña detectada pertenece a la familia de ataques Magecart, que originalmente se vinculaba con grupos que explotaban vulnerabilidades en Magento, pero desde entonces los métodos de propagación se han adaptado a otras plataformas y servicios. En general, el ataque se dirige a grandes empresas que colaboran con sistemas de pago globales y demuestra la creciente complejidad y sofisticación de las amenazas en línea.