LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
← назад към блога
Inteligencia de amenazas2026-05-2610 мин. четене

Web skimming en 2026: guía completa para el defensor

Magecart, formjacking y skimmers en service workers son una misma familia de amenazas. Así es como se ve el web skimming hoy y qué monitoreo lo detiene realmente.

El web skimming es el término genérico para el robo de datos de tarjetas y credenciales directamente desde el navegador del visitante mediante código de cliente inyectado. Magecart es el subgrupo más conocido, formjacking es la técnica más amplia y los skimmers son los propios scripts. Todos comparten un mismo modelo: una dependencia comprometida, un listener silencioso y exfiltración hacia el dominio del atacante.

Qué cambió entre 2024 y 2026: los skimmers rara vez se encuentran ahora en etiquetas <script> inline evidentes. Las variantes dominantes que observamos se ocultan en service workers (que sobreviven a las recargas de página), en WebAssembly blobs, en chunks importados de forma diferida y en esteganografía en PNG/SVG. Muchos se activan de forma condicional — solo para sesiones reales que superan una comprobación anti-análisis de headless browser.

Esta condicionalidad es la razón por la que los escáneres pasivos fallan. Un escáner que lee el HTML de forma estática o coteja firmas una vez al día no ve el payload que solo aparece con interacción real. Se necesita monitoreo de ejecución en un navegador real que parezca lo suficientemente un visitante verdadero como para activar el skimmer — y que registre todo cuando este se dispara.

El enfoque de ExploitShield: un Chromium completamente instrumentado con hooks para service workers ejecuta un checkout sintético cada 5 minutos, registra cada cuerpo de JS ejecutado, desofusca los packers más comunes y coteja cada destino POST de salida contra 500+ listas de bloqueo y heurísticas de endpoints con forma de skimmer. El skimmer se activa exactamente una vez por cada sesión de apariencia real — y lo vemos porque nosotros también parecemos una sesión real.

Lista de verificación para el defensor: mantén un inventario de los scripts de terceros en las rutas de pago; aplica Content-Security-Policy con lista blanca de conexiones; monitorea los destinos de salida durante la ejecución real; y trata cualquier dominio recién registrado al que acceda una página de checkout como un incidente hasta que se demuestre lo contrario.

свързани_статии
Detección
Detección de Magecart skimmers en 2026: qué cambió tras el Grupo 12
Inteligencia de amenazas
Anatomía del señuelo 'CAPTCHA falso → ClickFix'