Piratas informáticos inyectan capturadores de tarjetas de crédito en los módulos de procesamiento de pagos

Una nueva campaña de piratería de robo de tarjetas de crédito está haciendo las cosas de manera diferente a lo que hemos visto en el pasado al ocultar su código malicioso dentro del módulo de pasarela de pago 'Authorize.net' para WooCommcerce, lo que permite que la violación evada la detección por escaneos de seguridad.

Históricamente, cuando los actores de amenazas violan un sitio de comercio como Magenta o WordPress que ejecuta WooCommerce, inyectan JavaScript malicioso en el HTML de la tienda o en las páginas de pago del cliente. 

Estos scripts luego robarán la información ingresada del cliente al finalizar la compra, como números de tarjetas de crédito, fechas de vencimiento, números de CVV, direcciones, números de teléfono y direcciones de correo electrónico.

Sin embargo, muchos comerciantes en línea ahora trabajan con compañías de software de seguridad que escanean el HTML de los sitios de comercio electrónico públicos para encontrar scripts maliciosos, lo que dificulta que los actores de amenazas permanezcan ocultos.

Para evadir la detección, los actores de amenazas ahora están inyectando scripts maliciosos directamente en los módulos de la pasarela de pago del sitio que se utilizan para procesar los pagos con tarjeta de crédito al finalizar la compra.

Como estas extensiones generalmente solo se activan después de que un usuario envía los detalles de su tarjeta de crédito y paga en la tienda, puede ser más difícil de detectar por las soluciones de seguridad cibernética.

La campaña fue descubierta por expertos en seguridad de sitios web de Sucuri luego de ser llamados para investigar una infección inusual en uno de los sistemas de sus clientes.

Orientación a pasarelas de pago

WooCommerce es una popular plataforma de comercio electrónico para WordPress utilizada por aproximadamente el 40% de todas las tiendas en línea.

Para aceptar tarjetas de crédito en el sitio, las tiendas utilizan un sistema de procesamiento de pagos, como Authorize.net, un procesador popular utilizado por 440,000 comerciantes en todo el mundo.

En el sitio comprometido, Sucuri descubrió  que los actores de amenazas modificaron el archivo "class-wc-authorize-net-cim.php", uno de los archivos de Authorize.net que respaldan la integración de la pasarela de pago con los entornos de WooCommerce.

El código inyectado en la parte inferior del archivo verifica si el cuerpo de la solicitud HTTP contiene la cadena "wc-authorize-net-cim-credit-card-account-number", lo que significa que lleva datos de pago después de que un usuario paga su carrito de compras en la tienda.

Si lo hace, el código genera una contraseña aleatoria, cifra los datos de pago de la víctima con AES-128-CBC y los almacena en un archivo de imagen que los atacantes recuperan más tarde.

Código de malware agregado en la parte inferior del archivo (Sucuri)

 

Una segunda inyección realizada por los atacantes está en "wc-authorize-net-cim.min.js", también un archivo Authorize.net.

El código inyectado captura detalles de pago adicionales de los elementos del formulario de entrada en el sitio web infectado, con el objetivo de interceptar el nombre de la víctima, la dirección de envío, el número de teléfono y el código postal.

Eludir la detección

Otro aspecto notable de esta campaña es el sigilo del skimmer y sus funciones, que lo hacen particularmente difícil de descubrir y desarraigar, lo que lleva a períodos prolongados de exfiltración de datos.

En primer lugar, el código malicioso se inyectó en archivos legítimos de la pasarela de pago, por lo que las inspecciones periódicas que escanean el HTML público de los sitios web o buscan adiciones de archivos sospechosos no arrojarían ningún resultado.

En segundo lugar, guardar los detalles de la tarjeta de crédito robada en un archivo de imagen no es una táctica nueva, pero el cifrado fuerte es un elemento novedoso que ayuda a los atacantes a evadir la detección. En casos anteriores, los actores de amenazas almacenaron datos robados en forma de texto sin formato, utilizaron codificación base64 débil o simplemente transfirieron la información robada a los atacantes durante el pago.

En tercer lugar, los actores de amenazas abusan de la API Heartbeat de WordPress para emular el tráfico regular y mezclarlo con los datos de pago de las víctimas durante la exfiltración, lo que les ayuda a evadir la detección de las herramientas de seguridad que monitorean la exfiltración de datos no autorizados.

Abusar de Heartbeat API al exfiltrar datos de víctimas (Sucuri)

 

A medida que los actores de MageCart evolucionan sus tácticas y se dirigen cada vez más a los sitios de WooCommerce y WordPress, es esencial que los propietarios y administradores de sitios web se mantengan atentos y apliquen medidas de seguridad sólidas.

Esta campaña reciente descubierta por Sukuri destaca la creciente sofisticación de los ataques de robo de tarjetas de crédito y el ingenio de los atacantes para eludir la seguridad.

Ir al Inicio

Cuentas de Facebook secuestradas por la nueva extensión ChatGPT maliciosa de Chrome

Una versión troyanizada de la extensión legítima ChatGPT para Chrome está ganando popularidad en Chrome Web Store, acumulando más de 9000 descargas mientras roba cuentas de Facebook.

La extensión es una copia del popular complemento legítimo para Chrome llamado " ChatGPT para Google " que ofrece la integración de ChatGPT en los resultados de búsqueda. Sin embargo, esta versión maliciosa incluye código adicional que intenta robar las cookies de sesión de Facebook.

El editor de la extensión la subió a Chrome Web Store el 14 de febrero de 2023, pero solo comenzó a promocionarla mediante anuncios de búsqueda de Google el 14 de marzo de 2023. Desde entonces, ha tenido un promedio de mil instalaciones por día.

Complemento disponible en Chrome Web Store 

 

El investigador que lo descubrió, Nati Tal de Guardio Labs, informa que la extensión se comunica con la misma infraestructura utilizada a principios de este mes por  un complemento de Chrome similar  que acumuló 4000 instalaciones antes de que Google lo eliminara de Chrome Web Store.

Por lo tanto, esta nueva variante se considera parte de la misma campaña, que los operadores mantuvieron como respaldo en Chrome Web Store para cuando se informara y eliminara la primera extensión.

Orientación a cuentas de Facebook

La extensión maliciosa se promociona a través de anuncios en los resultados de búsqueda de Google, que se destacan cuando se busca "Chat GPT 4".

Al hacer clic en los resultados de búsqueda patrocinados, los usuarios acceden a una página de inicio falsa de "ChatGPT para Google" y, desde allí, a la página de la extensión en la tienda oficial de complementos de Chrome.

Después de que la víctima instala la extensión, obtiene la funcionalidad prometida (integración de ChatGPT en los resultados de búsqueda) ya que el código de la extensión legítima todavía está presente. Sin embargo, el complemento malicioso también intenta robar cookies de sesión para cuentas de Facebook.

Cadena de infección (Guardio Labs)

 

Tras la instalación de la extensión, el código malicioso utiliza la función de controlador OnInstalled para robar las cookies de sesión de Facebook.

Estas cookies robadas permiten a los actores de amenazas iniciar sesión en una cuenta de Facebook como usuario y obtener acceso completo a sus perfiles, incluidas las funciones de publicidad comercial.

El malware abusa de la API de extensión de Chrome para adquirir una lista de cookies relacionadas con Facebook y las cifra con una clave AES. Luego extrae los datos robados a través de una solicitud GET al servidor del atacante.

Recuperando lista de cookies de Google Chrome (Guardio Labs)

 

"La lista de cookies está cifrada con AES y adjunta al valor del encabezado HTTP X-Cached-Key", explica el  informe de Guardio Labs .

"Esta técnica se usa aquí para tratar de escabullir las cookies sin ningún mecanismo DPI (Inspección profunda de paquetes) que genere alertas sobre la carga útil del paquete".

Luego, los actores de amenazas descifran las cookies robadas para secuestrar las sesiones de Facebook de sus víctimas para campañas de publicidad maliciosa o para promover material prohibido como la propaganda de ISIS.

Página de Facebook de un vendedor de RV tomado por el atacante (Guardio Labs)

 

El malware cambia automáticamente los detalles de inicio de sesión en las cuentas violadas para evitar que las víctimas recuperen el control de sus cuentas de Facebook. También cambia el nombre y la imagen del perfil a una persona falsa llamada "Lilly Collins".

En este momento, la extensión maliciosa de Google Chrome todavía está presente en Google Chrome Web Store.

Sin embargo, el investigador de seguridad informó sobre la extensión maliciosa al equipo de Chrome Web Store, que probablemente la eliminará pronto. 

Desafortunadamente, según el historial anterior, es probable que los actores de amenazas tengan un plan 'C' a través de otra extensión "estacionada" que podría facilitar la próxima ola de infección.

Ir al Inicio

la IA de Bing te permite crear imágenes de alta calidad en segundos

Fuente > Microsoft  

El mes pasado, presentamos el nuevo Bing con tecnología de IA y Microsoft Edge, su copiloto para la web, que ofrece una mejor búsqueda, respuestas completas, una nueva experiencia de chat y la capacidad de crear contenido. Ya hemos visto que el chat está reinventando la forma en que las personas buscan con más de 100 millones de chats hasta la fecha. Hemos visto a personas usar el chat de varias maneras, desde refinar las respuestas a preguntas complejas hasta usarlo como una forma de entretenimiento o como inspiración creativa. Hoy llevamos la experiencia de chat al siguiente nivel al hacer que el nuevo Bing sea más visual.

Nos complace anunciar que traeremos Bing Image Creator, nuevas Historias visuales impulsadas por IA y Knowledge Cards actualizadas a la nueva vista previa de Bing y Edge. Con la tecnología de una versión avanzada del modelo DALL∙E de nuestros socios en OpenAI, Bing Image Creator le permite crear una imagen simplemente usando sus propias palabras para describir la imagen que desea ver. Ahora puede generar contenido escrito y visual en un solo lugar, desde el chat.

Sabemos por investigaciones que el cerebro humano procesa la información visual unas 60 000 veces más rápido que el texto , lo que convierte a las herramientas visuales en una forma fundamental de búsqueda, creación y comprensión de las personas. Según los datos de Bing, las imágenes son una de las categorías más buscadas, solo superada por las búsquedas web generales. Históricamente, la búsqueda se limitaba a imágenes que ya existían en la web. Ahora, casi no hay límites para lo que puede buscar y crear.

Para aquellos en la vista previa de Bing, Bing Image Creator se integrará completamente en la experiencia de chat de Bing y se implementará inicialmente en el modo Creativo. Al escribir una descripción de una imagen, proporcionar contexto adicional como ubicación o actividad, y elegir un estilo de arte, Image Creator generará una imagen a partir de su propia imaginación. Es como tu copiloto creativo. Simplemente escriba algo como "dibujar una imagen" o "crear una imagen" como aviso en el chat para crear una imagen para un boletín informativo para amigos o como inspiración para redecorar su sala de estar.

La vista previa de Bing Image Creator también estará disponible en Microsoft Edge, lo que lo convierte en el primer y único navegador con un generador de imágenes integrado alimentado por IA. Para usar el Creador de imágenes de Bing en Edge, simplemente haga clic en el ícono del Creador de imágenes de Bing en la barra lateral para crear su imagen o invoque desde el chat de Bing en Edge.

En Microsoft, nuestros equipos se guían por nuestros principios de IA responsable y el Estándar de IA responsable para ayudarlos a desarrollar e implementar sistemas de inteligencia artificial de manera responsable. Para frenar el posible uso indebido de Image Creator, estamos trabajando junto con nuestro socio OpenAI, que desarrolló DALL∙E, para ofrecer una experiencia que fomente el uso responsable de Image Creator. Nos hemos asegurado de que las medidas de seguridad de OpenAI, además de protecciones adicionales, se hayan incorporado en Image Creator.

Por ejemplo, hemos implementado controles que tienen como objetivo limitar la generación de imágenes dañinas o inseguras. Cuando nuestro sistema detecta que un aviso podría generar una imagen potencialmente dañina, bloquea el aviso y advierte al usuario. También aclaramos que las imágenes de Image Creator son generadas por IA, e incluimos un ícono de Bing modificado en la esquina inferior izquierda de cada imagen para ayudar a indicar que la imagen se creó con Image Creator. Continuamos trabajando de cerca con OpenAI para construir.

Desde que el nuevo Bing está disponible en versión preliminar, lo hemos estado probando con personas para obtener comentarios del mundo real para aprender y mejorar la experiencia. La gente lo usó de alguna manera que esperábamos y de otras que no. En este espíritu de aprendizaje y de continuar desarrollando nuevas capacidades de manera responsable, estamos implementando Bing Image Creator en un enfoque por etapas, probando con un conjunto de usuarios de vista previa antes de expandirnos de manera más amplia.

Inicialmente, solo incluiremos Image Creator en el modo Creativo de Bing chat y nuestra intención es que esté disponible en modo Equilibrado y Preciso con el tiempo. También estamos trabajando en algunas optimizaciones en curso sobre cómo funciona Image Creator en chats. Seguimos creyendo que la mejor manera de llevar estas tecnologías al mercado es probarlas cuidadosamente donde todos puedan brindar comentarios.

Nuevas historias visuales y tarjetas de conocimiento impulsadas por IA

Para respaldar la creciente demanda de más experiencias de búsqueda visual, también estamos poniendo a disposición de todos los usuarios de Bing Stories y Knowledge Cards 2.0. Las historias brindan una forma más atractiva de buscar e interactuar con el contenido, ofreciendo imágenes y videos cortos. También es nuevo para los usuarios de Bing hoy, Knowledge Cards 2.0 una experiencia inspirada en infografía impulsada por IA que proporciona datos divertidos e información clave de un vistazo. Se ha actualizado para incluir contenido interactivo y dinámico como tablas, gráficos, líneas de tiempo, historias visuales y más. Con estas actualizaciones y más por venir, nuestro objetivo es ofrecer experiencias más inmersivas en Bing y Edge que hagan que encontrar respuestas y explorar la web sea más interesante, útil y divertido.

Disponibilidad

El Creador de imágenes de Bing integrado en el chat de Bing comenzará a implementarse para los usuarios de vista previa de Bing tanto en computadoras de escritorio como en dispositivos móviles a partir de hoy. Para aquellos que no estén en la nueva vista previa de Bing, la experiencia de vista previa de Image Creator ahora está disponible en bing.com/create para usuarios de Bing de todo el mundo en inglés. Agregaremos más soporte de idiomas con el tiempo.

Bing Image Creator también está disponible en Microsoft Edge desde el ícono de Image Creator en la barra lateral para computadoras de escritorio y dispositivos móviles a partir de hoy para usuarios de Edge de todo el mundo en inglés. También pronto integraremos Image Creator en Edge desde el nuevo botón Bing en el modo de chat en la versión preliminar de Edge.

Si aún no está en la nueva vista previa de Bing, puede registrarse en la lista de espera hoy. Estamos agregando más personas cada día. Gracias por sus continuos comentarios y esperamos compartir más actualizaciones pronto.

Ir al Inicio

Actualización de Microsoft Defender detrás de las advertencias de protección de Windows LSA

Microsoft dice que la actualización del antivirus KB5007651 de Microsoft Defender activa advertencias de seguridad de Windows en los sistemas Windows 11 que indican que la protección de la autoridad de seguridad local (LSA) está desactivada.

La protección LSA es una función de seguridad que protege la información confidencial, como las credenciales, del robo al bloquear la inyección de código LSA que no es de confianza y el volcado de la memoria del proceso.

Los informes de usuarios generalizados dicen que "la protección de la autoridad de seguridad local está desactivada. Su dispositivo puede ser vulnerable". han aparecido advertencias incluso cuando la protección LSA está habilitada, como se informó el lunes.

Hoy, Microsoft reconoció esto como un nuevo problema conocido que hace que los dispositivos Windows afectados adviertan de manera persistente que son vulnerables y que se requiere reiniciar después de activar la Protección LSA.

Redmond dice que las alertas de reinicio persistentes solo aparecerán en los sistemas que ejecutan Windows 11 21H2 y 22H2.

"Después de instalar 'Actualización para la plataforma antimalware antivirus de Microsoft Defender - KB5007651 (versión 1.0.2302.21002)', es posible que reciba una notificación de seguridad o una advertencia que indique que 'La protección de seguridad local está desactivada. Su dispositivo puede ser vulnerable'. y una vez que se habilitan las protecciones, su dispositivo de Windows podría indicar de manera persistente que se requiere un reinicio", explica Redmond .

"Este problema afecta solo a la 'Actualización de la plataforma antimalware de Microsoft Defender Antivirus - KB5007651 (Versión 1.0.2302.21002)'. Todas las demás actualizaciones de Windows lanzadas el 14 de marzo de 2023 para las plataformas afectadas (KB5023706 y KB5023698) no causan este problema".

Advertencia de protección LSA ( GumbyJo )

Solución alternativa disponible

Microsoft dice que está trabajando en una solución para los problemas persistentes de advertencia de LSA Protection y proporcionará más información tan pronto como esté disponible.

La compañía también proporciona una solución para los clientes afectados hasta que haya una resolución disponible, pidiéndoles que ignoren las notificaciones de reinicio.

"Si ha habilitado la protección de la Autoridad de seguridad local (LSA) y ha reiniciado su dispositivo al menos una vez, puede descartar las notificaciones de advertencia e ignorar cualquier notificación adicional que solicite un reinicio", dice la compañía.

Para verificar si LSA realmente se inició en modo protegido en su computadora cuando se cargó Windows, puede buscar el siguiente evento WinInit en los registros del sistema en Registros de Windows: "12: LSASS.exe se inició como un proceso protegido con nivel: 4"

Redmond también anunció a principios de este mes que habilitaría la Protección de la Autoridad de Seguridad Local (LSA) de forma predeterminada para Windows 11 Insiders en el canal Canary si sus sistemas pasan una verificación de auditoría de incompatibilidad (Microsoft aún no ha explicado los problemas de compatibilidad que está buscando).

Ir al Inicio

Error de Windows 11 advierte que la protección de la autoridad de seguridad local está desactivada

Los usuarios de Windows 11 informan que han visto advertencias generalizadas de seguridad de Windows de que la protección de la autoridad de seguridad local (LSA) se ha deshabilitado a pesar de que se muestra como si estuviera activada.

La protección de LSA es una función de seguridad crucial para defenderse contra el robo de información confidencial, como las credenciales de inicio de sesión, al bloquear el volcado de la memoria del proceso y la inyección de código no confiable en el proceso de LSA.

Garantiza que solo las entidades autorizadas puedan obtener acceso a la información crítica requerida para la autenticación del usuario y la seguridad del sistema.

Si bien los usuarios de Windows  informan que este problema  se debe a la actualización acumulativa KB5023706 de Windows 11 22H2 recientemente  lanzada, esto ha estado sucediendo  al menos desde el 15 de enero .

El mensaje "La protección de la autoridad de seguridad local está desactivada. Su dispositivo puede ser vulnerable". las advertencias aparecen aunque la protección LSA esté habilitada en Seguridad de Windows > Seguridad del dispositivo > Detalles de aislamiento del núcleo.

"Hay un problema técnico con esta función, si ha activado correctamente esta función y se le solicita que reinicie, tenga en cuenta que la función está ACTIVADA independientemente del mensaje, ya que se trata de un problema técnico del que somos conscientes y están trabajando para resolver ese problema lo antes posible", dijo el representante de soporte técnico de Microsoft a uno de los usuarios afectados.

Para verificar si LSA realmente se inició en modo protegido en su computadora cuando se cargó Windows, puede buscar el siguiente evento WinInit en los registros del sistema en Registros de Windows: "12: LSASS.exe se inició como un proceso protegido con nivel: 4"

Advertencia de protección LSA ( GumbyJo )

​Cómo eliminar las alertas de LSA Protection

Hasta que Microsoft implemente una solución para esta falla de la autoridad de seguridad local de Windows 11, debe agregar dos nuevas entradas de registro DWORD y configurarlas en '2' para asegurarse de que la función de protección LSA se habilite automáticamente después del próximo reinicio y las advertencias defectuosas. ya no se mostrará.

El procedimiento requiere que siga estos pasos:

1. Abra el Editor del Registro y vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
2. Agregue nuevas entradas RunAsPPL y RunAsPPLBoot DWORD y configúrelas en 2.
3. Reinicie el sistema.

A principios de este mes, Redmond anunció que la última versión de Windows 11 que se implementará en Insiders en el canal Canary también habilitaría la Protección de la Autoridad de Seguridad Local (LSA) de forma predeterminada.

Sin embargo, esto solo sucederá si los sistemas pasan una auditoría de incompatibilidades (Microsoft aún no ha explicado qué problemas de compatibilidad está buscando).

En febrero de 2022, Microsoft dijo que activaría una regla de seguridad de "Reducción de la superficie de ataque" de Microsoft Defender de forma predeterminada que también bloquearía los intentos de robar las credenciales de Windows del proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS).

Ir al Inicio