Más de 4.600 sitios web con formularios de datos y scripts infectados

hackers

Continúan los problemas de seguridad en todo el mundo, y en esta caso la noticia llega desde ZDNet, donde se ha confirmado que varios hackers han conseguido invadir el servicio de análisis Picreel y el proyecto de código abierto Alpaca Forms y han modificado los archivos JavaScript de la infraestructura de estas dos compañías para incrustar códigos maliciosos en más de 4.600 sitios web.

El ataque, que aún continúa activo, ha sido detectado por el fundador de Sanguine Security, Willem de Groot, y confirmado por varios otros investigadores de seguridad.

El servicio hackeado es Picreel, plataforma de análisis que permite a los propietarios de sitios registrar lo que hacen los usuarios y cómo interactúan con un sitio web para analizar los patrones de comportamiento y aumentar las tasas de conversación. Se supone que los clientes de Picreel (propietarios de sitios web) deben insertar un fragmento de código JavaScript en sus sitios para permitir que Picreel haga su trabajo, un script que alberga un código malicioso.

Por otro lado Alpaca Forms es un proyecto de código abierto para crear formularios web. Fue desarrollado inicialmente por el proveedor de CMS empresarial Cloud CMS y de código abierto hace ocho años. Cloud CMS aún proporciona un servicio gratuito de CDN para el proyecto. Los hackers han invadido este CDN y modificado uno de los scripts de Alpaca Form, un solo archivo, según indica el responsable de tecnología de Cloud CMS, Michael Uzquiano.

El código malicioso en cuestión registra todo el contenido que los usuarios ingresan dentro de los campos de formulario y envía la información a un servidor ubicado en Panamá. Esto incluye datos relacionados con pagos, formularios de contacto y más. Es decir, que si una web infectada ofrece en un formulario la posibilidad de informar la tarjeta de crédito, esos datos se envían a Panamá a manos directas de los hackers (que aún no se sabe de dónde son).

De momento Cloud CMS ha intervenido y eliminado el CDN que estaba sirviendo el script de Alpaca Forms hackeado. Solo ha afectado a los clientes que usan el formulario de Alpaca Forms, el resto de clientes de Cloud CMS no está en peligro.

Por nuestro lado, solo tenemos que prestar atención y evitar formularios de Alpaca y sitios que usen Picreel, aunque ya sabemos que para la mayoría de los usuarios eso es inviable.

Juan Diego Polo

Estudió Ingeniería de Telecomunicaciones en la UPC (Barcelona), trabajando como ingeniero, profesor y analista desde 1998 hasta 2005, cuando decidió emprender creando wwwhatsnew.com.