Caesar Cipher Skimmer

Nekoliko naširoko korištenih sustava za upravljanje sadržajem (CMS), kao što su Magento, WordPress i OpenCart, nedavno su se susreli s novim web-skimmerom kreditnih kartica poznatim kao Caesar Cipher Skimmer. Ovaj zlonamjerni softver infiltrira se na web stranice e-trgovine s namjerom tajnog prikupljanja financijskih podataka i podataka o plaćanju.

Kampanja napada posebno je ciljala dodatak WooCommerce za WordPress, gdje je manipulirao PHP datotekom 'form-checkout.php' kako bi izvukao podatke o kreditnoj kartici. Istraživači koji nadziru situaciju primijetili su da je umetnuti kod izmijenjen kako bi se smanjila njegova vidljivost minimiziranjem maskiranja skripte.

Caesar Cipher Skimmer može se rasporediti na prethodno kompromitirana mjesta

Točnije, koristi isti mehanizam zamjene koji se koristi u Caesar šifri za kodiranje prijetećeg dijela koda u iskrivljeni niz i prikrivanje vanjske domene koja se koristi za smještaj korisnog sadržaja. Pretpostavlja se da su sve web stranice već bile kompromitirane na druge načine za postavljanje PHP skripte pod nazivima 'style.css' i 'css.php' u očitom pokušaju oponašanja HTML style sheeta i izbjegavanja otkrivanja.

Ove su skripte, zauzvrat, dizajnirane za učitavanje još jednog maskiranog JavaScript koda koji stvara WebSocket i povezuje se s drugim poslužiteljem kako bi dohvatio stvarni skimmer.

Skripta šalje URL trenutnih web stranica, što napadačima omogućuje slanje prilagođenih odgovora za svaku zaraženu stranicu. Neke verzije skripte drugog sloja čak provjeravaju je li učitao prijavljeni korisnik WordPressa i mijenjaju odgovor umjesto njih.

Operateri Caesar Cipher Skimmera su vjerojatno Rusi

Neke verzije scenarija sadrže komentare napisane na ruskom, što ukazuje na to da bi akteri prijetnje iza operacije mogli govoriti ruski.

Napad se ne oslanja isključivo na modificiranje datoteke 'form-checkout.php' u WooCommerceu; napadači su također iskoristili legitimni WPCode dodatak za ubacivanje skimmera u baze podataka web stranice.

Na web stranicama koje se temelje na Magentu, JavaScript injekcije nalaze se u tablicama baze podataka kao što je core_config_data. Metoda koja se koristi za OpenCart stranice ostaje nepoznata u ovom trenutku. Zbog širokog prihvaćanja kao platforme za web stranice, WordPress i njegov opsežni ekosustav dodataka postali su unosne mete za zlonamjerne aktere, pružajući im brojne mogućnosti za napade.

Potrebno je da vlasnici web stranica redovito ažuriraju svoj CMS softver i dodatke, održavaju snažnu praksu lozinki i provode periodične revizije kako bi otkrili sve sumnjive administratorske račune.

Žrtve skimera mogle bi pretrpjeti ozbiljne posljedice

Web skimmeri za kreditne kartice, također poznati kao Magecart napadi ili digitalni skimming, mogu imati ozbiljne posljedice i za potrošače i za tvrtke:

• Financijski gubici : Skimeri prikupljaju podatke o kreditnoj kartici unesene na ugroženim web stranicama. Te se informacije zatim koriste za lažne transakcije, što dovodi do izravnih financijskih gubitaka za pogođene pojedince.
• Krađa identiteta : prikupljeni podaci o kreditnoj kartici mogu se koristiti u svrhe krađe identiteta, uključujući otvaranje novih računa ili neovlaštene kupnje u ime žrtve.
• Šteta poslovnom ugledu : Tvrtke koje pretrpe skimming napad mogu se suočiti sa oštećenjem svog ugleda i gubitkom povjerenja kupaca. Potrošači bi mogli izbjegavati kupnju na web stranicama koje su doživjele povrede sigurnosti.
• Regulatorne kazne : Ovisno o nadležnosti, tvrtke mogu biti novčano kažnjene i dobiti kazne za nedovoljnu zaštitu podataka o klijentima. Podvrgavanje propisima o zaštiti podataka kao što su GDPR ili CCPA također može biti ugroženo.
• Operativni poremećaj : Ublažavanje učinaka skimming napada zahtijeva značajne resurse i vrijeme. Tvrtke će možda trebati privremeno zatvoriti svoje web stranice ili usluge kako bi istražile i sanirale kršenje, što bi dovelo do prekida rada i financijskog utjecaja.
• Dugoročni utjecaj na prihod : Čak i nakon ublažavanja napada skimminga, tvrtke mogu doživjeti smanjeni promet kupaca i prodaju kao rezultat kršenja. Vraćanje povjerenja kupaca i ponovna izgradnja pozitivnog ugleda može biti dugoročni izazov.

Ukratko, web-skimeri kreditnih kartica predstavljaju značajne rizike i za potrošače i za tvrtke, utječući na financijsku stabilnost, pouzdanost i usklađenost s propisima. Preventivne mjere, kao što su redovite sigurnosne revizije, snažne prakse šifriranja i brza ažuriranja softvera, bitne su za ublažavanje ovih rizika i zaštitu od takvih nesigurnih aktivnosti.