Caesar Cipher Skimmer

Adskillige udbredte indholdsstyringssystemer (CMS), såsom Magento, WordPress og OpenCart, har for nylig stødt på en ny kreditkort-webskimmer kendt som Caesar Cipher Skimmer. Denne malware infiltrerer e-handelswebsteder med den hensigt i det skjulte at indsamle økonomiske og betalingsoplysninger.

Angrebskampagnen var specifikt rettet mod WooCommerce-pluginnet til WordPress, hvor det manipulerede 'form-checkout.php' PHP-filen for at udtrække kreditkortoplysninger. Forskere, der overvåger situationen, har bemærket, at den indsprøjtede kode er blevet ændret for at reducere dens synlighed ved at minimere sløring af scriptet.

Caesar Cipher Skimmer kan blive installeret på tidligere kompromitterede steder

Specifikt bruger den den samme substitutionsmekanisme, der bruges i Cæsar-chiffer til at kode det truende stykke kode til en forvansket streng og skjule det eksterne domæne, der bruges til at være vært for nyttelasten. Det formodes, at alle webstederne tidligere er blevet kompromitteret på andre måder for at iscenesætte et PHP-script, der går under navnene 'style.css' og 'css.php' i et åbenbart forsøg på at efterligne et HTML-typografiark og undgå registrering.

Disse scripts er til gengæld designet til at indlæse endnu en sløret JavaScript-kode, der opretter en WebSocket og forbinder til en anden server for at hente den faktiske skimmer.

Scriptet sender URL'en til de aktuelle websider, som gør det muligt for angriberne at sende tilpassede svar for hvert inficeret websted. Nogle versioner af det andet lags script tjekker endda, om det er indlæst af en logget WordPress-bruger, og ændrer svaret for dem.

Operatørerne af Caesar Cipher Skimmer er sandsynligvis russiske

Nogle versioner af manuskriptet indeholder kommentarer skrevet på russisk, der indikerer, at trusselsaktørerne bag operationen kan være russisktalende.

Angrebet er ikke udelukkende afhængigt af ændring af filen 'form-checkout.php' i WooCommerce; Angribere har også udnyttet det legitime WPCode-plugin til at injicere skimmeren i webstedsdatabaser.

På Magento-baserede websteder findes JavaScript-injektioner i databasetabeller som core_config_data. Metoden, der bruges til OpenCart-websteder, er stadig ukendt på nuværende tidspunkt. På grund af dens udbredte anvendelse som en hjemmesideplatform er WordPress og dets omfattende plugin-økosystem blevet lukrative mål for ondsindede aktører, hvilket giver dem rigelige muligheder for angreb.

Det er nødvendigt for webstedsejere regelmæssigt at opdatere deres CMS-software og plugins, opretholde stærk adgangskodepraksis og udføre periodiske revisioner for at opdage eventuelle mistænkelige administratorkonti.

Ofre for en skimmer kunne udholde alvorlige konsekvenser

Kreditkort-webskimmere, også kendt som Magecart-angreb eller digital skimming, kan have alvorlige konsekvenser for både forbrugere og virksomheder:

• Økonomiske tab : Skimmere høster kreditkortoplysninger indtastet på kompromitterede websteder. Disse oplysninger bruges derefter til svigagtige transaktioner, hvilket fører til direkte økonomiske tab for berørte personer.
• Identitetstyveri : Indhøstede kreditkortoplysninger kan bruges til identitetstyveriformål, herunder åbning af nye konti eller uautoriserede køb i offerets navn.
• Skade på virksomhedens omdømme : Virksomheder, der bliver ramt af et skimming-angreb, kan blive udsat for skade på deres omdømme og tab af kundetillid. Forbrugere kan undgå at handle på websteder, der har oplevet sikkerhedsbrud.
• Regulatoriske sanktioner : Afhængigt af jurisdiktionen kan virksomheder blive idømt bøder og få bøder for ikke at beskytte kundedata tilstrækkeligt. Underkastelse til databeskyttelsesforskrifter såsom GDPR eller CCPA kan også blive kompromitteret.
• Driftsforstyrrelse : Afbødning af virkningerne af et skimmingangreb kræver betydelige ressourcer og tid. Virksomheder kan være nødt til midlertidigt at lukke deres websteder eller tjenester ned for at undersøge og afhjælpe bruddet, hvilket fører til driftsforstyrrelser og økonomiske konsekvenser.
• Langsigtet indvirkning på omsætning : Selv efter at have afbødet et skimming-angreb, kan virksomheder opleve reduceret kundetrafik og salg som følge af bruddet. At genoprette kundernes tillid og genopbygge et positivt omdømme kan være en langsigtet udfordring.

Sammenfattende udgør kreditkortwebskimmere betydelige risici for både forbrugere og virksomheder, hvilket påvirker finansiel stabilitet, troværdighed og overholdelse af lovgivningen. Forebyggende foranstaltninger, såsom regelmæssige sikkerhedsrevisioner, robust krypteringspraksis og hurtige softwareopdateringer, er afgørende for at mindske disse risici og beskytte mod sådanne usikre aktiviteter.