Una amenaza en cada píxel: cómo la etiqueta “img” se convirtió en un arma para estafadores
Ahora, incluso las imágenes más simples esconden complejos esquemas de robo de datos de pago.
Los investigadores de Sucuri han descubierto una nueva campaña de robo de datos de tarjetas bancarias dirigida a tiendas en línea que utilizan la plataforma Magento. Los atacantes ocultan el código malicioso en la estructura HTML, disfrazándolo de imágenes para pasar desapercibidos.
MageCart es el nombre de un grupo de programas maliciosos diseñados para robar datos de pago en plataformas en línea. Para ello, los atacantes emplean diversas técnicas de ataque tanto del lado del cliente como del servidor para inyectar skimmers ocultos en las páginas de pago. A menudo, el código malicioso se activa en la etapa de pago, reemplazando el formulario de entrada o interceptando los datos introducidos por los usuarios en tiempo real.
El nombre MageCart está vinculado al objetivo inicial de los ataques: la plataforma Magento, que proporciona funciones de carrito de compras y procesamiento de pedidos. Con el tiempo, los atacantes han perfeccionado sus tácticas, ocultando los scripts maliciosos dentro de imágenes falsas, archivos de audio, iconos e incluso páginas de error 404.
El nuevo ataque destaca por su alto nivel de ocultación: el código malicioso se inyecta en una etiqueta <img> dentro de la página HTML. Los investigadores de Sucuri señalan que este método permite evitar la detección por parte de los sistemas de seguridad. Dado que las imágenes suelen contener cadenas largas, como rutas de archivos o datos codificados, la presencia del código oculto no genera sospechas.
La clave de la técnica es el uso del evento "onerror". Normalmente, los navegadores lo utilizan cuando una imagen no se carga correctamente, pero en este caso se emplea para ejecutar código JavaScript. De esta manera, el navegador percibe el script inyectado como parte del mecanismo estándar de manejo de errores.
Una vez activado, el código malicioso verifica si la página de pago está abierta y, cuando el usuario pulsa el botón de confirmación del pago, envía los datos a un servidor remoto. El formulario falso solicita el número de la tarjeta, su fecha de vencimiento y el código CVV, para luego enviarlos a los atacantes a través del dominio "wellfacing[.]com".
Los expertos señalan que el ataque no solo es altamente sigiloso, sino también muy efectivo. Los ciberdelincuentes logran dos objetivos simultáneamente: evitan los escáneres de seguridad gracias a la ocultación en etiquetas <img> y minimizan la posibilidad de ser detectados por los usuarios, ya que el formulario fraudulento parece legítimo.
Los ataques contra plataformas como Magento, WooCommerce y PrestaShop continúan evolucionando, volviéndose cada vez más sofisticados. Los scripts maliciosos suelen estar encriptados y utilizan métodos de ocultación poco convencionales. Estas amenazas demuestran lo ingeniosos que se han vuelto los ciberdelincuentes y resaltan la importancia de un monitoreo constante de la seguridad de las tiendas en línea.