Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3659
)
-
▼
mayo
(Total:
356
)
-
Alerta de seguridad en librería Go fsnotify por ca...
-
Fortinet alerta sobre vulnerabilidades críticas de...
-
Vulnerabilidad de Open WebUI permite ataque RCE me...
-
Xbox y Discord potencian Game Pass
-
Forza Horizon 6 filtrado por error en Steam
-
El Congreso investiga la filtración de Canvas desp...
-
Samsung lleva la IA a sus neveras Bespoke
-
Claude chantajeaba a sus usuarios cuando se enfren...
-
Una mujera frena construcción de centro de datos d...
-
El creador de cURL afirma que Mythos de Anthropic ...
-
RubyGems detiene los nuevos registros tras la subi...
-
OpenAI presenta Daybreak para competir con Anthrop...
-
Google detecta primer ciberataque con IA
-
Magecart usa Google Tag Manager para robar tarjetas
-
Cómo era viajar cuando no existía la navegación me...
-
Omni: la nueva IA de vídeo de Google
-
Best Western Hotels confirma filtración de datos e...
-
El gusano Mini Shai-Hulud compromete a TanStack, M...
-
IA enseña francés en 33 días
-
Vulnerabilidades críticas en extensión SOAP de PHP...
-
Clásicos retro llegan en portátil
-
Cuentas de correo de telefonica.net o movistar.es ...
-
Instructure acuerda rescate con ShinyHunters para ...
-
Sony enfurece a gamers con IA
-
Evento Hackron 2026 en Santa Cruz de Tenerife
-
Checkmarx neutraliza otra intrusión de TeamPCP tra...
-
El Hanyuan-2 es el primer ordenador cuántico de do...
-
Resonac anuncia que elevará la capacidad de produc...
-
ShinyHunters vulnera Canvas LMS mediante programa ...
-
Ataque GhostLock usa archivos compartidos de Windo...
-
Hacker controla robot cortacésped a distancia
-
ICO multa con 963.000 libras a South Staffordshire...
-
RPCS3 critica la IA y pide programar código real
-
Guía completa de Neo Geo AES+
-
Capcom prepara cuatro Resident Evil y remake de De...
-
Alerta por RAM DDR5 falsa
-
El troyano bancario TrickMo para Android emplea la...
-
Malware Vidar roba credenciales, cookies, carteras...
-
China crea chip de luz 100 veces más rápido que Nv...
-
Actualización de Google reCAPTCHA bloquea usuarios...
-
Noctua muestra el nuevo NF-A12x25 G2 chromax.black...
-
Malware de macOS usa anuncios de Google y chats de...
-
Intel terminará con sus CPU híbridas en 2028: Copp...
-
Un simulador de eclipses solares para ver cómo ser...
-
Claude Mythos: la IA restringida de Anthropic
-
Retrete para coches ya es una realidad en China
-
Herramientas de cifrado de disco
-
Herramientas interactivas de análisis de malware
-
IA envía tarjetas de cumpleaños escritas a mano
-
IA superará el coste laboral para 2026
-
Passkeys: el sustituto seguro de las contraseñas
-
Musk enfrenta cargos por no testificar en Francia
-
Outlook se renueva con IA y calendario inteligente
-
Desmantelamiento de red criminal expone a 22.000 u...
-
Intel lanza NAS con IA y Core Ultra 3
-
Siguen aumentando las estafas de módulos RAM DDR5 ...
-
Bloquea descargas de IA en Chrome y Edge
-
ChatGPT falla en el idioma chino y desespera a usu...
-
China consiguió los mejores chips de IA de NVIDIA ...
-
Vulnerabilidad de lectura fuera de límites en Olla...
-
IA encarece red eléctrica en Maryland
-
Funciones clave de Claude Code y Opus 4.7
-
Cloudflare recorta personal por IA y cae en bolsa
-
Elon Musk visita la fábrica de Intel Oregón: ¿Hará...
-
Microsoft cambiaría los sonidos de Windows 11
-
Firefox corrige fallos en PDF y videollamadas
-
Instagram quita el cifrado a sus mensajes privados
-
Más vulnerabilidades en cPanel y WHM
-
Sonidos de bienvenida: 50 años de nostalgia web
-
Intel y Apple volverían a unir sus caminos, aunque...
-
Repositorio falso de OpenAI en Hugging Face distri...
-
Mozilla soluciona 271 vulnerabilidades en Firefox ...
-
Microsoft acelerará Windows 11 un 40% con el modo LLP
-
Nintendo encarece Switch 2 pese a la caída de PS5
-
IA podría reducir costes de GTA 6
-
Malware TCLBANKER ataca usuarios mediante gusanos ...
-
El Archivo de Internet de Suiza: otra copia de seg...
-
cPanel y WHM lanzan correcciones para tres nuevas ...
-
Windows 11 mantiene código de los 90
-
Let’s Encrypt detiene emisión de certificados por ...
-
Vulnerabilidades críticas de Microsoft 365 Copilot...
-
Filtración de datos de NVIDIA expone información d...
-
SK Hynix ya no vende solo memoria, vende supervive...
-
Codex ya controla Chrome en Mac y Windows
-
Cómo saber si mi conexión a Internet tiene buen pi...
-
Falso instalador de OpenClaw para robar criptomone...
-
JDownloader ha confirmado que su web fue hackeada
-
Despliegan RAT modular que roba credenciales y cap...
-
TCLBANKER: el troyano bancario que ataca plataform...
-
Incidente de seguridad en Škoda expone datos de cl...
-
GeForce GTX serie 10: diez años de Pascal
-
Aplicaciones de historial de llamadas falsas estaf...
-
Arm creará una CPU bestial de 500 núcleos para gan...
-
ChatGPT y su impacto en el cerebro
-
UE facilitará cancelaciones online desde 2026
-
AMD Instinct MI430X, un acelerador diseñado para i...
-
Falsos técnicos informáticos acaban en prisión por...
-
Alerta por web falsa de Claude con malware
-
Batería cuántica: carga en un segundo y dura una s...
-
Samsung y SK Hynix buscan el futuro de la DRAM por...
-
-
▼
mayo
(Total:
356
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
FluentCleaner es una app gratuita para Windows 11 que limpia archivos innecesarios y optimiza el sistema con mayor control y seguridad ... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
Magecart usa Google Tag Manager para robar tarjetas
Los compradores en línea han sido durante mucho tiempo blanco de robos digitales, pero una reciente ola de ataques ha elevado el riesgo de una manera preocupante. Hackers vinculados al notorio grupo Magecart están ocultando skimmers de tarjetas de crédito dentro de contenedores de Google Tag Manager (GTM), convirtiendo una herramienta web ampliamente confiable en un arma silenciosa contra compradores desprevenidos.
Google Tag Manager es utilizado por millones de sitios web para gestionar scripts de marketing y análisis desde una única ubicación confiable. Debido a que sirve código desde el dominio altamente confiable googletagmanager.com, la mayoría de las herramientas de seguridad y los propietarios de sitios web rara vez cuestionan los scripts cargados a través de él.
Esa confianza es exactamente lo que los atacantes están explotando, utilizando contenedores de GTM falsos para entregar código malicioso que roba datos de pago silenciosamente en tiempo real.
.webp)
Los analistas de Sucuri han rastreado esta campaña de cerca, descubriendo una operación bien organizada vinculada a un actor de amenazas veterano llamado ATMZOW. Este skimmer ha sido relacionado con la actividad de Magecart desde 2015, cuando se conectó por primera vez a la infección Guruincsite que comprometió miles de tiendas impulsadas por Magento. El hecho de que este mismo grupo siga operando, y siga evolucionando, es una señal clara de que la amenaza está lejos de terminar.
La escala del problema quedó clara cuando el escáner SiteCheck de Sucuri detectó contenedores de GTM maliciosos conocidos en 327 sitios solo en los primeros 11 meses de 2023. Un contenedor, GTM-WJV6J6, fue señalado 178 veces ese año antes de que Google interviniera y lo eliminara. Pero cuando se cierra un contenedor, los atacantes simplemente crean otros nuevos y comienzan a reinfectar los sitios nuevamente.
Lo que hace que esta campaña sea especialmente peligrosa es lo profundamente que se ha incrustado en el flujo normal de la actividad web. Un script de GTM parece completamente ordinario a primera vista, razón por la cual tantas infecciones pasan desapercibidas hasta que se ha causado un daño real. Los compradores ingresan los detalles de su tarjeta en lo que parece ser una página de pago legítima, totalmente inconscientes de que sus datos están siendo enviados silenciosamente a los atacantes.
Cómo funciona el Skimmer de Google TM
El skimmer de ATMZOW utiliza una cadena de scripts ofuscados entregados a través de contenedores de GTM para recolectar silenciosamente datos de tarjetas de pago desde las páginas de finalización de compra. Una vez que un sitio comprometido carga el contenedor malicioso, el script verifica si el visitante se encuentra en una página de pago o en una página de pago de una sola pantalla antes de activarse.
.webp)
Este enfoque selectivo ayuda a que el malware permanezca discreto y reduce la probabilidad de activar los escaneos de seguridad automatizados.
Para adelantarse a los investigadores, el skimmer selecciona aleatoriamente dos dominios de una lista rotativa de 40 direcciones recién registradas para cargar su carga útil. Estos dominios se guardan en el almacenamiento local del navegador, por lo que el mismo par aparece en visitas repetidas, haciendo que sea mucho más difícil para los analistas trazar la infraestructura completa.
Los dominios fueron registrados a través de Hostinger en tres lotes en noviembre de 2023 y diseñados para pasar desapercibidos utilizando palabras relacionadas con el arte combinadas con términos de estilo analítico, como cdn.sketchinsightswatch[.]com y cdn.colorpalettemetrics[.]com. Los atacantes también ocultaron sus servidores detrás de un firewall de Cloudflare para evitar la detección basada en IP, aunque los investigadores finalmente pudieron identificar los servidores subyacentes.
Tácticas de Ofuscación y Reinfección Persistente
Lo que diferencia al skimmer de ATMZOW de herramientas más simples es la profundidad de su ofuscación. El código malicioso utiliza un mecanismo de decodificación personalizado que depende de la longitud exacta de caracteres del script, lo que significa que cualquier modificación romperá el decodificador por completo. Este diseño lo hace particularmente resistente al análisis automatizado y a las herramientas de detección estática.
Cuando Google eliminó el contenedor original GTM-TVKQ79ZS tras los informes de actividad maliciosa, los atacantes crearon rápidamente dos contenedores de reemplazo, GTM-NTV2JTB4 y GTM-MX7L8F2M, y reanudaron la infección de sitios.
En al menos una ocasión, este skimmer fue encontrado operando junto a un skimmer separado basado en WebSocket en el mismo sitio comprometido, lo que sugiere que algunas víctimas estaban siendo atacadas por múltiples actores de amenazas a la vez. Los propietarios de sitios web deben tratar cualquier script desconocido como una posible señal de alerta, especialmente aquellos que no fueron colocados allí por un administrador. Para los propietarios de sitios Magento, vale la pena revisar exhaustivamente las plantillas almacenadas en core_config_data, ya que este es el lugar más común donde se plantan los scripts de skimmers del lado del cliente.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| ID de Contenedor GTM | GTM-WJV6J6 | Contenedor GTM malicioso usado para inyectar skimmer; detectado 178 veces en 2023 |
| ID de Contenedor GTM | GTM-TVKQ79ZS | Contenedor GTM con nueva variante de skimmer ATMZOW (Noviembre 2023) |
| ID de Contenedor GTM | GTM-NTV2JTB4 | Contenedor malicioso de reemplazo creado tras la eliminación de GTM-TVKQ79ZS |
| ID de Contenedor GTM | GTM-MX7L8F2M | Segundo contenedor malicioso de reemplazo usado para reinfección |
| Dominio | gtm-statistlc[.]com | Fuente de script malicioso usado en la campaña anterior GTM-WJV6J6 (creado 11 de julio 2023) |
| Dominio | goqle-analytics[.]com | Dominio de análisis similar usado en la misma campaña |
| Dominio | webstatlstics[.]com | Dominio de estadísticas similar usado en la misma campaña |
| Dominio | lgstd[.]io | Skimmer basado en WebSocket encontrado junto al skimmer GTM en el mismo sitio comprometido |
| Dominio | cdn.sketchinsightswatch[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.colorpalettemetrics[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.artisticpatterndata[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.visualartexplorer[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.picturedataminer[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.paintedworldstats[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.drawinginfopro[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.artistictrendsmap[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.sketchanalyticsvault[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.colorschemeobserver[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.artdataharvest[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.gallerytrendstracker[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.picturetrendsmonitor[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.brushstrokemetrics[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.imagepatternprofiler[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.artisticexpressiondb[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.sketchdataanalytics[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.canvastrendstracker[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.visualartinsights[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.strokepatternanalysis[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.artstattracker[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.drawdatahub[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.sketchmetrics[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.paintinfoanalyzer[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.imageinsightvault[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.visualdatacollector[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.artworkanalytics[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.sketchtrendsmonitor[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.picinfometrics[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.drawnstatsgather[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.artistictrendsprobe[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.gallerydatainsight[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.strokeanalysislab[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.imagestatistician[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.artprofilingtool[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.sketchdataharbor[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.picturetrendsdb[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.drawninfoinspector[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.arttrendtrackers[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dominio | cdn.PaintedVisionsStats[.]com | Dominio de entrega de carga útil de ATMZOW (lote nov 2023) |
| Dirección IP | 31.220.21[.]211 | Servidor de Hostinger que aloja dominios de ATMZOW |
| Dirección IP | 31.220.21[.]240 | Servidor de Hostinger que aloja dominios de ATMZOW |
| Dirección IP | 62.72.7[.]89 | Servidor de Hostinger que aloja dominios de ATMZOW |
| Dirección IP | 62.72.7[.]90 | Servidor de Hostinger que aloja dominios de ATMZOW |
Nota: Las direcciones IP y los dominios han sido desactivados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Actívalos únicamente dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/magecart-hackers-abuse-google-tag-manager/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.