LIVE_FEED

--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL

← назад към блога

Ingeniería2026-06-067 мин. четене

Por qué usamos navegadores reales, no rastreadores, para cazar skimmers

Los ataques modernos se esconden de los escáneres de solo cabeceras. Así ejecuta nuestra flota de Chromium instrumentado las páginas como lo haría un comprador real, y por qué importa.

Un rastreador de solo cabeceras ve el HTML que envía el servidor. Los skimmers modernos no viven ahí. Los inyecta un service worker, se decodifican desde un blob WASM o se importan de forma diferida solo tras superar una comprobación de huella anti-bot.

Para ver lo que ve un visitante real, ejecutamos una flota de instancias de Chromium totalmente instrumentadas. Cada una ejecuta JavaScript, acepta cookies, registra service workers y completa una interacción sintética como un flujo de pago.

La instrumentación es lo esencial. Registramos cada iniciador de red, cada elemento de script insertado dinámicamente y cada postMessage entre marcos. La carga del atacante se dispara una vez por sesión realista, y como parecemos una sesión realista, la capturamos.

Por eso también resistimos la evasión. Los skimmers que comprueban navigator.webdriver, indicadores headless o plugins ausentes reciben un navegador que responde como uno real. El coste es cómputo; el beneficio es una detección que un WAF o un filtro DNS no pueden igualar estructuralmente.

свързани_статии

Detección de Magecart skimmers en 2026: qué cambió tras el Grupo 12

Inteligencia de amenazas

Anatomía del señuelo 'CAPTCHA falso → ClickFix'