Blog Attacks

Un sitio de comercio electrónico de Kuwait está siendo utilizado para facilitar ataques de skimming del lado del cliente

Un popular sitio de comercio electrónico en Kuwait, que ejecuta una versión desactualizada de Magento (2.4), ha sido comprometido por una inyección de JavaScript malicioso,

Oct 03, 2024 • 2 min read

Himanshu Anand Software Engineer

Que ocurrio en Shrwaa.com

Un popular sitio de comercio electrónico en Kuwait, que ejecuta una versión desactualizada de Magento (2.4), ha sido comprometido por una inyección de JavaScript malicioso, exponiendo los datos de pago de los clientes. La vulnerabilidad, probablemente vinculada a el error CosmicSting en Magento, ha sido parcheada, pero los sitios que no se han actualizado permanecen en riesgo.

Tienda Magento de Shrwaa comprometida que sigue atendiendo a clientes

A diferencia de otros sitios afectados, Shrwaa[.]com está siendo explotado como infraestructura para ataques adicionales. Un escaneo de URL muestra numerosos sitios que hacen referencia a Shrwaa[.]com, que aloja múltiples archivos JavaScript maliciosos:

Listado de directorio con los archivos JavaScript maliciosos alojados en shrwaa.com

Dado que este dominio actualmente no está siendo marcado por fuentes de amenazas (un gran problema cuando se trata de ataques del lado del cliente), los atacantes lo utilizan como infraestructura y para acelerar el proceso de infectar más sitios.

Resultados de urlscan.io mostrando numerosos sitios que referencian shrwaa.com

Un archivo llamado jquery.js está solo ligeramente ofuscado, lo que nos da una idea de cómo funciona la inyección. Este archivo crea una página HTML simple que engaña a los usuarios para que ingresen sus datos de pago. Estas páginas falsas se superponen a los formularios de pago legítimos:

Superposición de pago falsa inyectada sobre el formulario de pago legítimo de Shrwaa

Dado que no existe un monitoreo de scripts de terceros ni prácticas de seguridad implementadas, este ataque permanece activo, y probablemente ha estado activo desde diciembre de 2023.

Los ataques siguen siendo comunes en la plataforma Magento. Estos se conocen como ataques Magecart, y algunos de los incidentes más grandes han involucrado tácticas similares. Para orientación de prevención, consulta nuestra guía de seguridad del lado del cliente para eCommerce.

Si Shrwaa[.]com hubiera tenido cside implementado, habría bloqueado el código malicioso y alertado al sitio para eliminarlo. Hemos notificado a ellos y a otros sitios sobre el ataque.

Puedes proteger tu sitio web de forma gratuita creando una cuenta de cside.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Shrwaa no solo está comprometido — su infraestructura se usa para alojar JavaScript malicioso para otros ataques. El sitio superpone formularios de pago falsos encima de checkouts legítimos de Magento para robar tarjetas.

Los threat feeds aún no marcan shrwaa.com. El ataque probablemente está activo desde diciembre de 2023, lo que subraya por qué los equipos necesitan detección basada en comportamiento en el cliente en lugar de depender de listas de reputación de dominios.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.