### Explotación Activa del Plugin Funnel Builder Una vulnerabilidad de seguridad crítica que afecta al plugin **Funnel Builder** para WordPress ha sido explotada activamente en la naturaleza para inyectar código JavaScript malicioso en las páginas de pago de WooCommerce. El objetivo es robar datos de pago. Los detalles de la actividad fueron publicados por **Sansec** esta semana. La vulnerabilidad actualmente no tiene un identificador **CVE** oficial. Afecta a todas las versiones del plugin anteriores a la 3.15.0.3 e impacta a más de 40,000 tiendas WooCommerce. ### Inyección de JavaScript No Autenticada La falla permite a atacantes no autenticados inyectar JavaScript arbitrario en cada página de pago de la tienda, según la empresa holandesa de seguridad de comercio electrónico. **FunnelKit**, que mantiene Funnel Builder, ha lanzado un parche para la vulnerabilidad en la versión 3.15.0.3. "Los atacantes están plantando scripts falsos de **Google Tag Manager** en la configuración de 'Scripts Externos' del plugin", señaló **Sansec**. "El código inyectado parece análisis ordinario junto a las etiquetas reales de la tienda, pero carga un skimmer de pago que roba números de tarjetas de crédito, CVVs y direcciones de facturación del proceso de pago". ### Detalles Técnicos de la Vulnerabilidad Según **Sansec**, Funnel Builder incluye un endpoint de pago expuesto públicamente que permite a una solicitud entrante elegir el tipo de método interno a ejecutar. Sin embargo, las versiones anteriores fueron diseñadas de tal manera que nunca verificaban los permisos del llamador ni limitaban qué métodos podían ser invocados. Los atacantes explotan esta laguna emitiendo una solicitud no autenticada que puede alcanzar un método interno no especificado. Este método escribe datos controlados por el atacante directamente en la configuración global del plugin. El fragmento de código agregado se inyecta luego en cada página de pago de Funnel Builder. Como resultado, un atacante puede plantar una etiqueta `<script>` maliciosa que se activa en cada transacción de pago en un sitio WordPress susceptible. ### Implementación del Skimmer En al menos un caso, **Sansec** observó un payload disfrazado de cargador de **Google Tag Manager** (GTM) para lanzar JavaScript alojado en un dominio remoto. Posteriormente, abre una conexión WebSocket al servidor de comando y control (C2) del atacante (`wss://protect-wss[.]com/ws`) para recuperar un skimmer adaptado a la tienda de la víctima. El objetivo final del ataque es sustraer números de tarjetas de crédito, CVVs, direcciones de facturación y otra información personal ingresada por los visitantes del sitio al pagar. Se recomienda a los propietarios de sitios que actualicen el plugin Funnel Builder a la última versión y revisen `Configuración > Pago > Scripts Externos` en busca de cualquier cosa desconocida, eliminando cualquier entrada sospechosa. "Disfrazar los skimmers como código de Google Analytics o Tag Manager es un patrón recurrente de Magecart, ya que los revisores tienden a pasar por alto rápidamente cualquier cosa que parezca una etiqueta de seguimiento familiar", dijo **Sansec**. ### Campaña de Backdoor en Joomla La divulgación se produce semanas después de que **Sucuri** detallara una campaña en la que los sitios web de Joomla están siendo infectados con código PHP altamente ofuscado. Este código contacta a servidores C2 controlados por atacantes, recibe y procesa instrucciones enviadas por los operadores, y sirve contenido spam a los visitantes y motores de búsqueda sin el conocimiento del propietario del sitio. El objetivo final es aprovechar la reputación de los sitios para inyectar spam. "El script actúa como un cargador remoto", dijo la investigadora de seguridad Puja Srivastava. "Contacta a un servidor externo, envía información sobre el sitio web infectado y espera instrucciones. La respuesta del servidor remoto determina qué contenido debe servir el sitio infectado". "Este enfoque permite a los atacantes cambiar el comportamiento del sitio web comprometido en cualquier momento sin modificar los archivos locales nuevamente. El atacante puede inyectar enlaces de productos spam, redirigir a los visitantes o mostrar páginas maliciosas dinámicamente".