Caesar Cipher Skimmer

Няколко широко използвани системи за управление на съдържанието (CMS), като Magento, WordPress и OpenCart, наскоро се натъкнаха на нов уеб скимер за кредитни карти, известен като Caesar Cipher Skimmer. Този злонамерен софтуер прониква в уебсайтове за електронна търговия с намерението тайно да събира финансови и платежни данни.

Кампанията за атака беше насочена специално към приставката WooCommerce за WordPress, където манипулираше PHP файла „form-checkout.php“, за да извлече информация за кредитна карта. Изследователите, наблюдаващи ситуацията, отбелязаха, че инжектираният код е променен, за да се намали видимостта му чрез минимизиране на обфускацията на скрипта.

Скимерът на Caesar Cipher Skimmer може да бъде разгърнат на компрометирани преди това сайтове

По-конкретно, той използва същия механизъм за заместване, използван в шифъра на Цезар, за да кодира заплашителното парче код в изкривен низ и да прикрие външния домейн, който се използва за хостване на полезния товар. Предполага се, че всички уебсайтове преди това са били компрометирани чрез други средства за създаване на PHP скрипт, който носи имената „style.css“ и „css.php“ в очевидно усилие да имитират HTML style sheet и да избегнат откриването.

Тези скриптове от своя страна са проектирани да зареждат друг обфусциран JavaScript код, който създава WebSocket и се свързва с друг сървър, за да извлече действителния скимер.

Скриптът изпраща URL адреса на текущите уеб страници, което позволява на атакуващите да изпращат персонализирани отговори за всеки заразен сайт. Някои версии на скрипта на втория слой дори проверяват дали е зареден от влязъл потребител на WordPress и променят отговора за тях.

Операторите на Caesar Cipher Skimmer вероятно са руснаци

Някои версии на сценария съдържат коментари, написани на руски език, което показва, че участниците в заплахата зад операцията може да са рускоезични.

Атаката не разчита единствено на модифициране на файла „form-checkout.php“ в WooCommerce; нападателите също са използвали легитимния плъгин WPCode, за да инжектират скимера в бази данни на уебсайтове.

В уебсайтове, базирани на Magento, инжекциите на JavaScript се намират в таблици на бази данни като core_config_data. Методът, използван за сайтовете на OpenCart, засега остава неизвестен. Поради широкото си възприемане като платформа за уебсайтове, WordPress и неговата обширна екосистема на плъгини се превърнаха в доходоносни цели за злонамерени участници, предоставяйки им широки възможности за атаки.

Необходимо е собствениците на уебсайтове редовно да актуализират своя CMS софтуер и добавки, да поддържат надеждни практики за пароли и да извършват периодични одити, за да открият подозрителни администраторски акаунти.

Жертвите на скимер могат да понесат сериозни последствия

Уеб скимърите на кредитни карти, известни също като Magecart атаки или цифрово скимиране, могат да имат тежки последици както за потребителите, така и за бизнеса:

• Финансови загуби : Скимерите събират данни за кредитни карти, въведени на компрометирани уебсайтове. След това тази информация се използва за измамни транзакции, което води до преки финансови загуби за засегнатите лица.
• Кражба на самоличност : Събраната информация от кредитна карта може да се използва за целите на кражба на самоличност, включително откриване на нови акаунти или извършване на неоторизирани покупки от името на жертвата.
• Увреждане на бизнес репутацията : Компаниите, които са подложени на скиминг атака, могат да бъдат изправени пред увреждане на репутацията си и загуба на доверие на клиентите. Потребителите може да избегнат пазаруването на уебсайтове, които са претърпели пробиви в сигурността.
• Регулаторни санкции : В зависимост от юрисдикцията, фирмите могат да бъдат глобени и да получат санкции за това, че не са успели да защитят данните на клиентите по подходящ начин. Подчиняването на разпоредбите за защита на данните като GDPR или CCPA също може да бъде компрометирано.
• Оперативно прекъсване : смекчаването на ефектите от скиминг атака изисква значителни ресурси и време. Може да се наложи фирмите временно да затворят своите уебсайтове или услуги, за да разследват и отстранят нарушението, което води до смущения в работата и финансово въздействие.
• Дългосрочно въздействие върху приходите : Дори след смекчаване на скиминг атака, бизнесът може да изпита намален клиентски трафик и продажби в резултат на пробива. Възстановяването на доверието на клиентите и възстановяването на положителна репутация може да бъде дългосрочно предизвикателство.

В обобщение, уеб скимерите на кредитни карти представляват значителни рискове както за потребителите, така и за бизнеса, оказвайки влияние върху финансовата стабилност, надеждността и съответствието с нормативните изисквания. Превантивните мерки, като редовни одити на сигурността, стабилни практики за криптиране и бързи софтуерни актуализации, са от съществено значение за смекчаване на тези рискове и защита срещу такива опасни дейности.