Caesar Cipher Skimmer

چندین سیستم مدیریت محتوا (CMS) که به طور گسترده مورد استفاده قرار می گیرند، مانند مجنتو، وردپرس و OpenCart، اخیراً با یک اسکیمر وب کارت اعتباری جدید به نام Caesar Cipher Skimmer مواجه شده اند. این بدافزار با هدف جمع آوری مخفیانه جزئیات مالی و پرداخت به وب سایت های تجارت الکترونیک نفوذ می کند.

کمپین حمله به طور خاص افزونه WooCommerce برای وردپرس را هدف قرار داد، جایی که فایل PHP 'form-checkout.php' را برای استخراج اطلاعات کارت اعتباری دستکاری کرد. محققانی که بر این وضعیت نظارت می‌کنند، خاطرنشان کرده‌اند که کد تزریق شده برای کاهش دید آن با به حداقل رساندن مبهم بودن اسکریپت تغییر یافته است.

Caesar Cipher Skimmer ممکن است در سایت‌هایی که قبلاً در معرض خطر قرار گرفته بودند مستقر شود

به طور خاص، از همان مکانیسم جایگزینی استفاده شده در رمز سزار استفاده می‌کند تا قطعه کد تهدید کننده را در یک رشته مخدوش رمزگذاری کند و دامنه خارجی را که برای میزبانی بار استفاده می‌شود، پنهان کند. فرض بر این است که همه وب‌سایت‌ها قبلاً از طریق روش‌های دیگری در معرض خطر قرار گرفته‌اند تا یک اسکریپت PHP را با نام‌های «style.css» و «css.php» در تلاشی آشکار برای تقلید از یک صفحه سبک HTML و فرار از تشخیص به کار ببرند.

این اسکریپت ها به نوبه خود برای بارگذاری کد جاوا اسکریپت مبهم دیگری طراحی شده اند که یک WebSocket ایجاد می کند و به سرور دیگری متصل می شود تا اسکیمر واقعی را دریافت کند.

این اسکریپت URL صفحات وب فعلی را ارسال می کند، که به مهاجمان اجازه می دهد تا برای هر سایت آلوده پاسخ های سفارشی ارسال کنند. برخی از نسخه‌های اسکریپت لایه دوم حتی بررسی می‌کنند که آیا توسط یک کاربر وردپرس وارد شده است یا نه و پاسخ را برای آنها تغییر می‌دهند.

اپراتورهای سزار رمز اسکیمر احتمالا روسی هستند

برخی از نسخه‌های فیلمنامه حاوی نظراتی هستند که به زبان روسی نوشته شده‌اند، که نشان می‌دهد عاملان تهدید پشت این عملیات ممکن است روسی زبان باشند.

این حمله تنها متکی به تغییر فایل "form-checkout.php" در WooCommerce نیست. مهاجمان همچنین از پلاگین WPCode قانونی برای تزریق اسکیمر به پایگاه داده وب سایت سوء استفاده کرده اند.

در وب سایت های مبتنی بر Magento، تزریق جاوا اسکریپت در جداول پایگاه داده مانند core_config_data یافت می شود. روش مورد استفاده برای سایت های OpenCart در حال حاضر ناشناخته باقی مانده است. به دلیل پذیرش گسترده آن به عنوان یک پلتفرم وب سایت، وردپرس و اکوسیستم افزونه گسترده آن به اهداف سودآوری برای عوامل مخرب تبدیل شده اند و فرصت های فراوانی را برای حملات فراهم می کنند.

صاحبان وب‌سایت‌ها باید به‌طور منظم نرم‌افزار و افزونه‌های CMS خود را به‌روزرسانی کنند، شیوه‌های رمز عبور قوی را حفظ کنند، و بازرسی‌های دوره‌ای را برای شناسایی حساب‌های مدیر مشکوک انجام دهند.

قربانیان یک کفگیر می توانند عواقب جدی را تحمل کنند

اسکیمرهای وب کارت اعتباری، همچنین به عنوان حملات Magecart یا اسکیمینگ دیجیتال شناخته می شوند، می توانند عواقب شدیدی هم برای مصرف کنندگان و هم برای مشاغل داشته باشند:

• ضررهای مالی : اسکیمرها اطلاعات کارت اعتباری وارد شده در وب سایت های در معرض خطر را جمع آوری می کنند. سپس از این اطلاعات برای تراکنش‌های متقلبانه استفاده می‌شود که منجر به زیان مالی مستقیم برای افراد آسیب‌دیده می‌شود.
• سرقت هویت : اطلاعات کارت اعتباری جمع آوری شده را می توان برای اهداف سرقت هویت، از جمله افتتاح حساب های جدید یا خریدهای غیرمجاز به نام قربانی استفاده کرد.
• آسیب به شهرت کسب و کار : شرکت هایی که از حمله skimming رنج می برند ممکن است با آسیب به شهرت و از دست دادن اعتماد مشتری مواجه شوند. مصرف کنندگان ممکن است از خرید در وب سایت هایی که نقض امنیت را تجربه کرده اند اجتناب کنند.
• مجازات‌های نظارتی : بسته به حوزه قضایی، کسب‌وکارها ممکن است جریمه شوند و جریمه‌هایی برای عدم محافظت کافی از داده‌های مشتری دریافت کنند. ارائه مقررات حفاظت از داده ها مانند GDPR یا CCPA نیز ممکن است به خطر بیفتد.
• اختلال عملیاتی : کاهش اثرات یک حمله skimming به منابع و زمان قابل توجهی نیاز دارد. کسب‌وکارها ممکن است نیاز داشته باشند تا به‌طور موقت وب‌سایت‌ها یا سرویس‌های خود را برای بررسی و اصلاح نقض، تعطیل کنند، که منجر به اختلال در عملیات و تأثیرات مالی می‌شود.
• تأثیر بلندمدت بر درآمد : حتی پس از کاهش یک حمله skimming، کسب‌وکارها ممکن است ترافیک و فروش مشتری را در نتیجه نقض کاهش دهند. بازگرداندن اعتماد مشتری و بازسازی یک شهرت مثبت می تواند یک چالش طولانی مدت باشد.

به طور خلاصه، اسکیمرهای وب کارت اعتباری خطرات قابل توجهی را هم برای مصرف کنندگان و هم برای مشاغل ایجاد می کند که بر ثبات مالی، قابلیت اطمینان و انطباق با مقررات تأثیر می گذارد. اقدامات پیشگیرانه، مانند ممیزی های امنیتی منظم، شیوه های رمزگذاری قوی، و به روز رسانی سریع نرم افزار، برای کاهش این خطرات و محافظت در برابر چنین فعالیت های ناامن ضروری هستند.