LIVE_FEED

--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL

← назад към блога

Ingeniería2026-06-048 мин. четене

Anatomía de un escaneo: qué hace realmente el motor

Un escaneo no es una petición curl. Recorremos cada etapa —desde poner una URL en cola hasta producir un veredicto verificado— para que sepas qué impulsa tus alertas.

Cada escaneo comienza como un trabajo en una cola de prioridad. Los planes de pago con intervalos cortos tienen mayor prioridad, pero todos los trabajos pasan por la misma canalización, así que los resultados son comparables entre niveles.

La primera etapa es la adquisición: una instancia real de Chromium, no una simple obtención de cabeceras, carga la página con JavaScript activado. Enganchamos el registro de service workers, los iniciadores de peticiones y las llamadas de importación dinámica para que nada cargado en tiempo de ejecución escape al registro.

La segunda etapa es el análisis. Comparamos el árbol de scripts observado con tu línea base, puntuamos los recursos nuevos o mutados y ejecutamos heurísticas de comportamiento que marcan patrones de exfiltración: POST a dominios recién registrados, escuchas de pulsaciones en campos de pago o cargas ofuscadas decodificadas en tiempo de ejecución.

La tercera etapa es la verificación. Antes de que algo llegue a tu bandeja, los hallazgos sospechosos se reejecutan en una sesión limpia para descartar inestabilidad. Solo un resultado estable y reproducido se convierte en veredicto: por eso vale la pena actuar ante nuestras alertas.

свързани_статии

Detección de Magecart skimmers en 2026: qué cambió tras el Grupo 12

Inteligencia de amenazas

Anatomía del señuelo 'CAPTCHA falso → ClickFix'