Plugin de WordPress malicioso oculta esquiadores de tarjetas de crédito en falsos archivos PNG

Skimmers invisibles en WooCommerce: cuando el plugin no roba tráfico, roba tarjetas

Hay ataques que buscan visibilidad. Y hay otros mucho más peligrosos que buscan pasar desapercibidos mientras drenan valor. El malware descubierto por el equipo de Threat Intelligence de Wordfence, oculto dentro de un falso plugin de WordPress y diseñado específicamente para tiendas WooCommerce, pertenece sin duda al segundo grupo.

No estamos ante un script improvisado. Estamos ante una infraestructura criminal madura, con cifrado propio, persistencia avanzada, múltiples capas de payload y técnicas de ocultación diseñadas para sobrevivir a auditorías superficiales. Y lo más grave: su objetivo no es el sitio web, es la tarjeta de crédito del cliente.

En Zonsai lo decimos claro: cuando un ataque llega al checkout, el problema ya no es técnico. Es existencial para el negocio.

El disfraz perfecto: un plugin “legítimo” que no quiere ser visto

El malware se presenta como un plugin aparentemente normal. Nombre creíble. Estructura estándar. Archivos PHP y PNG. Nada sospechoso a simple vista.

Pero al activarse hace algo clave: se oculta del listado de plugins. No aparece en la tabla. No salta a la vista. Y mientras tanto empieza a trabajar.

Este “plugin”:

• Registra IPs y sesiones de usuarios con permisos elevados.
• Marca a administradores con cookies para no atacarles a ellos.
• Roba credenciales de acceso de WordPress.
• Despliega backdoors AJAX para control remoto.
• Inyecta skimmers en el checkout de WooCommerce.

Todo ello sin romper el sitio. Sin alertas evidentes. Sin errores visibles.

Ocultar JavaScript malicioso dentro de imágenes: ingeniería criminal de alto nivel

Uno de los aspectos más sofisticados de este ataque es el uso de archivos PNG falsos para almacenar el código JavaScript que roba los datos de pago.

Estos archivos:

• Empiezan con una cabecera PNG válida.
• Contienen código JavaScript invertido y codificado.
• Se regeneran periódicamente.
• Se cargan solo en el checkout.

Para un escáner básico, son imágenes. Para el navegador, terminan siendo scripts activos.

Además, el sistema está diseñado en capas:

• Un payload dinámico que se actualiza a diario.
• Un payload de respaldo local.
• Un payload personalizado que el atacante puede subir bajo demanda.

Si uno falla, entra el siguiente. La persistencia no es un extra, es el núcleo del diseño.

El robo ocurre donde más duele: el checkout

El malware vigila específicamente las páginas de checkout de WooCommerce. Espera. Observa. Y solo actúa cuando detecta campos de tarjeta.

El JavaScript malicioso:

• Se adapta a checkouts cargados por AJAX.
• Espera unos segundos para no interferir visualmente.
• Simula validaciones falsas para generar confianza.
• Intercepta número de tarjeta, fecha y CVV.

Cuando el usuario paga, los datos no solo van al proveedor legítimo. También salen hacia servidores de control del atacante, usando múltiples métodos de exfiltración para asegurar que el robo se produce incluso en entornos restringidos.

El cliente no lo sabe. El comercio tampoco. Hasta que llegan las devoluciones, los chargebacks y las llamadas del banco.

El Impacto Real de un Skimmer en la Cuenta de Resultados

Aquí es donde muchas empresas subestiman el problema.

Un skimmer activo no solo roba tarjetas. Provoca:

• Chargebacks masivos y penalizaciones de los bancos.
• Pérdida de confianza irreversible del cliente.
• Investigaciones legales y de cumplimiento.
• Bloqueo de pasarelas de pago.
• Daño reputacional que no se mide en Google Analytics.

Y hay algo aún más peligroso: el ataque puede durar semanas o meses antes de ser detectado. Durante ese tiempo, el negocio sigue “vendiendo”… mientras destruye su credibilidad.

Desde la cuenta de resultados, el coste no es el malware. Es la pérdida de futuro.

No es mala suerte: es superficie de ataque acumulada

Este tipo de malware no entra porque sí. Entra porque:

• Hay plugins innecesarios o abandonados.
• No hay control real de integridad.
• Las actualizaciones se posponen.
• La seguridad se delega a “un plugin más”.

El atacante no necesita explotar WooCommerce. Solo necesita un punto débil previo para instalar su “plugin”. A partir de ahí, el ecommerce es suyo.

Nuestro Enfoque como Partner Digital: La Aplicación Zonsai

En Zonsai abordamos WooCommerce y WordPress como infraestructura crítica, no como simple CMS con carrito.

Cuando un proyecto procesa pagos:

• Reducimos el stack a lo estrictamente necesario.
• Auditamos plugins desde una óptica de riesgo, no de funcionalidad.
• Monitorizamos integridad de archivos y comportamiento.
• Diseñamos arquitecturas donde un fallo no implica control total.

Porque la pregunta no es si existen skimmers sofisticados. Existen. La pregunta es si tu plataforma está preparada para que no se instalen y, si ocurre, detectarlo antes de que el daño sea irreversible.

Un ecommerce comprometido no pierde ventas. Pierde legitimidad.

Y proteger esa legitimidad es exactamente el tipo de responsabilidad que asumimos cuando trabajamos como Partner Digital en proyectos de eCommerce Conectado, donde seguridad, arquitectura y negocio no se tratan como silos separados.

Fuente original / Contenido de referencia

Este artículo ha sido reescrito y ampliado mediante AI Feed Writer by Zonsai – Auto Feeds, Smart Content & AI, la herramienta de Zonsai para transformar informes técnicos de seguridad en análisis estratégicos orientados a la toma de decisiones empresariales.