Investigadores de ciberseguridad descubrieron una nueva y sofisticada campaña de malware de robo de formularios dirigida a sitios web de comercio electrónico con WooCommerce.
Advierten que esta amenaza demuestra capacidades de sigilo sin precedentes, integrando cuidadosamente formularios de pago falsos en procesos de pago legítimos, a la vez que evade los métodos de detección tradicionales que suelen identificar este tipo de actividades maliciosas.
El malware funciona inyectando tales formularios, diseñados profesionalmente, directamente en los flujos de trabajo de pago existentes, lo que dificulta enormemente su detección tanto para los propietarios de sitios web como para los clientes desprevenidos.
A diferencia de los clonadores de tarjetas convencionales, que simplemente superponen formularios existentes con imitaciones burdas, esta variante se integra a la perfección con la estética del diseño y la infraestructura de pago del sitio web objetivo, creando una experiencia de usuario auténtica que enmascara su intención maliciosa.
Los analistas de Wordfence identificaron esta amenaza tras recibir una muestra de script malicioso de un usuario preocupado el 24 de abril de 2025, lo que provocó una investigación y un análisis inmediatos.
El equipo de investigación de seguridad desarrolló firmas de detección en 24 horas y las puso a disposición de los suscriptores premium el 6 de mayo de 2025, siguiendo rigurosos protocolos de control de calidad.
Está previsto que los usuarios gratuitos reciban estas firmas protectoras tras el plazo estándar de 30 días, el 5 de junio de 2025.
¿Cómo funciona el malware dirigido al comercio electrónico?
El vector de ataque se centra principalmente en cuentas administrativas de WordPress comprometidas, a través de las cuales los atacantes inyectan código JavaScript malicioso utilizando plugins legítimos diseñados para la implementación personalizada de CSS y JavaScript.
La evidencia de la investigación sugiere que el plugin Simple Custom CSS and JS, entre otras herramientas similares, fue explotado tras la vulneración para insertar el código malicioso en los sitios web objetivo.
El malware se dirige específicamente a las páginas de pago, implementando múltiples comprobaciones de validación para garantizar que solo funciona en el entorno previsto y evitar activarse varias veces durante una misma sesión de usuario.
Al activarse, el malware despliega un sofisticado mecanismo de recopilación de datos que captura información completa del cliente, incluyendo números de tarjetas de crédito, fechas de caducidad, códigos de seguridad y datos completos de facturación.
Los datos robados se transmiten posteriormente a servidores de comando y control, utilizando técnicas avanzadas de evasión que eluden las herramientas comunes de monitorización de seguridad.
No dejes de leer: El riesgo de las monedas estables y los ETF para las finanzas mundiales
