Blog Attacks

Los feeds de amenazas no detectaron el ataque durante más de 2 años

En este sitio web podemos ver que ha estado activo desde agosto de 2022. Hemos notificado este ataque a este y otros sitios web.

Oct 02, 2024 • 4 min read

Simon Wijckmans Founder & CEO

cside acaba de detectar un ataque del lado del cliente que ha estado activo durante más de 2 años. El dominio guyacave[.]fr ha estado distribuyendo un script de robo de Información de Identificación Personal (PII) en múltiples sitios web desde agosto de 2022. Comprueba tu sitio web ahora y elimina inmediatamente cualquier script que contenga ese dominio si lo encuentras.

Durante el análisis de scripts maliciosos, encontramos un sitio web infectado por uno de ellos. En ese sitio podemos ver que ha estado activo desde agosto de 2022. Hemos notificado este ataque a ese y otros sitios web afectados.

En una investigación más profunda, encontramos una publicación de Decoded Avast de noviembre de 2022 en la que el dominio guyacave[.]fr ya era mencionado como malicioso.

Escriben:

Los atacantes también aprovecharon otros sitios legítimos, como sitios de venta de ropa, calzado, joyería, muebles y suministros médicos, para alojar su código de skimming. En concreto, utilizaron guyacave[.]fr, servair[.]com y stripefaster[.]com. Los atacantes exfiltraron datos de pago mediante solicitudes POST a URLs como guyacave[.]fr/js/tiny_mce/themes/modern/themes.php y similares para los otros dominios. En algunos casos, la solicitud POST se enviaba al propio sitio de comercio electrónico infectado, lo que indica que el atacante tiene acceso completo a los sitios comprometidos. Protegimos a casi 17.000 usuarios en todo el mundo de este webskimmer.

La URL inline: _0x800b[140];var _0xb61ex27= new XMLHttpRequest();_0xb61ex27_0x800b[143];_0xb61ex27_0x800b[144] — dentro del script indica que utiliza una solicitud XML HTTP para enviar los datos de pago privados a un endpoint externo. En este caso, https://guyacave[.]fr/js/tiny_mce/themes/modern/themes.php.

El script tiene funciones para leer y escribir cookies. Probablemente se utilizan para robar cookies de sesión y otra información sensible almacenada en el navegador.

También encontramos la función Math.random() para crear elementos dinámicos. Esto es lo que hace que los scripts de terceros sean peligrosos y que asegurarlos sea esencial. Cualquier script de terceros es inherentemente dinámico y puede cambiar en función de todo tipo de parámetros. Esta función Math.random() ayuda a evadir los métodos de detección simples basados en firmas.

El motor de cside es más avanzado y fue capaz de detectar y bloquear este script malicioso en nuestras pruebas.

Por último, el script manipula la interfaz del sitio web para ocultar ciertos elementos. Lo hace mediante la sencilla función display:none, para mostrar el formulario de pago falso en lugar del real.

Los feeds de amenazas son la principal forma en que las empresas se informan sobre dominios maliciosos vinculados en sus sitios web. En cside, no creemos que esta sea la mejor solución para la seguridad del lado del cliente.

La 1.ª razón por la que los feeds de amenazas no funcionan

Hasta la fecha, solo 10 de los 96 proveedores de seguridad en VirusTotal han marcado este dominio como malicioso. Los feeds de amenazas tienen su utilidad, pero son insuficientes para la seguridad del lado del cliente. Este ataque demuestra que incluso después de 2 años, la mayoría de los feeds no han dado con él. En el mejor de los casos, lo detectan y alertan después del hecho. En el peor, pasa desapercibido durante años.

La prevención es el siguiente paso

Aunque el dominio hubiera sido marcado antes y por más feeds, los atacantes simplemente podrían buscar un nuevo dominio que se adapte a sus necesidades.

Los feeds de amenazas se basan en verificar el origen —en este caso, el dominio—, no el payload del código. Esto hace que la detección sea prácticamente imposible hasta que alguien lo marque manualmente. Esto convierte a los feeds de amenazas en una solución reactiva, no preventiva.

En nuestras pruebas, cside fue capaz de detectar y bloquear este script y dominio maliciosos. Si estos sitios web, o las plataformas sobre las que fueron construidos, hubieran tenido cside implementado, el ataque habría sido detectado y detenido de inmediato.

En cada sesión, cargamos los scripts de terceros en un proxy seguro que verifica el payload real del script, no solo los orígenes y dominios. Si detectamos algo sospechoso, nuestros clientes reciben una alerta y el script queda bloqueado para que no se cargue en el navegador del visitante del sitio web.

Puedes registrarte en cside y proteger tu sitio en minutos.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.