Caesar Cipher Skimmer

واجهت العديد من أنظمة إدارة المحتوى (CMS) المستخدمة على نطاق واسع، مثل Magento وWordPress وOpenCart، مؤخرًا مقشدة ويب جديدة لبطاقات الائتمان تُعرف باسم Caesar Cipher Skimmer. تتسلل هذه البرامج الضارة إلى مواقع التجارة الإلكترونية بهدف جمع التفاصيل المالية وتفاصيل الدفع سرًا.

استهدفت حملة الهجوم على وجه التحديد مكون WooCommerce الإضافي لـ WordPress، حيث تلاعبت بملف PHP "form-checkout.php" لاستخراج معلومات بطاقة الائتمان. لاحظ الباحثون الذين يشرفون على الموقف أن الكود الذي تم إدخاله قد تم تعديله لتقليل ظهوره عن طريق تقليل تشويش النص.

قد يتم نشر مقشدة تشفير Caesar في المواقع التي تم اختراقها مسبقًا

على وجه التحديد، فإنه يستخدم نفس آلية الاستبدال المستخدمة في تشفير Caesar لتشفير الجزء التهديدي من التعليمات البرمجية في سلسلة مشوهة وإخفاء المجال الخارجي المستخدم لاستضافة الحمولة. من المفترض أن جميع مواقع الويب قد تم اختراقها مسبقًا من خلال وسائل أخرى لإعداد برنامج PHP النصي الذي يحمل الأسماء "style.css" و"css.php" في محاولة واضحة لتقليد ورقة أنماط HTML وتجنب الاكتشاف.

تم تصميم هذه البرامج النصية بدورها لتحميل كود JavaScript غامض آخر يقوم بإنشاء WebSocket ويتصل بخادم آخر لجلب الكاشطة الفعلية.

يرسل البرنامج النصي عنوان URL لصفحات الويب الحالية، مما يسمح للمهاجمين بإرسال استجابات مخصصة لكل موقع مصاب. تتحقق بعض إصدارات البرنامج النصي للطبقة الثانية مما إذا كان قد تم تحميله بواسطة مستخدم WordPress الذي قام بتسجيل الدخول وتعديل الاستجابة له.

من المحتمل أن يكون مشغلو مقشدة تشفير قيصر من الروس

تحتوي بعض إصدارات النص على تعليقات مكتوبة باللغة الروسية، تشير إلى أن الجهات التهديدية التي تقف وراء العملية قد تكون ناطقة باللغة الروسية.

لا يعتمد الهجوم فقط على تعديل ملف "form-checkout.php" في WooCommerce؛ استغل المهاجمون أيضًا البرنامج الإضافي الشرعي WPCode لإدخال الكاشطة في قواعد بيانات مواقع الويب.

في مواقع الويب المستندة إلى Magento، توجد عمليات حقن JavaScript في جداول قاعدة البيانات مثل core_config_data. الطريقة المستخدمة لمواقع OpenCart لا تزال مجهولة في الوقت الحالي. نظرًا لاعتماده على نطاق واسع كمنصة لموقع ويب، أصبح WordPress ونظامه البيئي الشامل للمكونات الإضافية أهدافًا مربحة للجهات الفاعلة الخبيثة، مما يوفر لهم فرصًا كبيرة للهجمات.

من الضروري لمالكي مواقع الويب تحديث برامج CMS والمكونات الإضافية بانتظام، والحفاظ على ممارسات كلمة مرور قوية، وإجراء عمليات تدقيق دورية للكشف عن أي حسابات مسؤول مشبوهة.

يمكن لضحايا الكاشطة أن يتحملوا عواقب وخيمة

يمكن أن تؤدي كاشطات الويب الخاصة ببطاقات الائتمان، والمعروفة أيضًا باسم هجمات Magecart أو القشط الرقمي، إلى عواقب وخيمة على كل من المستهلكين والشركات:

• الخسائر المالية : يقوم الكاشطون بجمع تفاصيل بطاقة الائتمان التي تم إدخالها على مواقع الويب المخترقة. يتم بعد ذلك استخدام هذه المعلومات في المعاملات الاحتيالية، مما يؤدي إلى خسائر مالية مباشرة للأفراد المتضررين.
• سرقة الهوية : يمكن استخدام معلومات بطاقة الائتمان المجمعة لأغراض سرقة الهوية، بما في ذلك فتح حسابات جديدة أو إجراء عمليات شراء غير مصرح بها باسم الضحية.
• الإضرار بسمعة الأعمال : قد تواجه الشركات التي تتعرض لهجوم القشط ضررًا بسمعتها وفقدان ثقة العملاء. قد يتجنب المستهلكون التسوق على مواقع الويب التي تعرضت لانتهاكات أمنية.
• العقوبات التنظيمية : اعتمادًا على الولاية القضائية، قد يتم فرض غرامات على الشركات وعقوبات بسبب فشلها في حماية بيانات العملاء بشكل كافٍ. قد يتم أيضًا اختراق الخضوع للوائح حماية البيانات مثل القانون العام لحماية البيانات (GDPR) أو قانون خصوصية المستهلك في كاليفورنيا (CCPA).
• الاضطراب التشغيلي : يتطلب التخفيف من آثار هجوم القشط موارد كبيرة ووقتًا كبيرًا. قد تحتاج الشركات إلى إغلاق مواقعها الإلكترونية أو خدماتها مؤقتًا للتحقيق في الانتهاك ومعالجته، مما يؤدي إلى اضطراب تشغيلي وتأثير مالي.
• التأثير طويل المدى على الإيرادات : حتى بعد تخفيف هجوم القشط، قد تواجه الشركات انخفاضًا في حركة العملاء والمبيعات نتيجة للاختراق. يمكن أن تشكل استعادة ثقة العملاء وإعادة بناء سمعة إيجابية تحديًا طويل المدى.

باختصار، تشكل كاشطات الويب الخاصة ببطاقات الائتمان مخاطر كبيرة على كل من المستهلكين والشركات، مما يؤثر على الاستقرار المالي والجدارة بالثقة والامتثال التنظيمي. تعتبر التدابير الوقائية، مثل عمليات التدقيق الأمني المنتظمة، وممارسات التشفير القوية، وتحديثات البرامج السريعة، ضرورية للتخفيف من هذه المخاطر والحماية من مثل هذه الأنشطة غير الآمنة.