Caesar Cipher Skimmer

Magento, WordPress 및 OpenCart와 같이 널리 사용되는 여러 콘텐츠 관리 시스템(CMS)에서는 최근 Caesar Cipher Skimmer로 알려진 새로운 신용 카드 웹 스키머를 접했습니다. 이 악성코드는 금융 및 결제 세부정보를 은밀하게 수집할 목적으로 전자상거래 웹사이트에 침투합니다.

공격 캠페인은 특히 WordPress용 WooCommerce 플러그인을 표적으로 삼았습니다. 여기서 'form-checkout.php' PHP 파일을 조작하여 신용카드 정보를 추출했습니다. 상황을 감독하는 연구원들은 삽입된 코드가 스크립트의 난독화를 최소화하여 가시성을 줄이기 위해 변경되었음을 확인했습니다.

Caesar Cipher Skimmer는 이전에 손상된 사이트에 배포될 수 있습니다.

특히 위협적인 코드 조각을 왜곡된 문자열로 인코딩하고 페이로드를 호스팅하는 데 사용되는 외부 도메인을 숨기기 위해 Caesar 암호에 사용된 것과 동일한 대체 메커니즘을 활용합니다. 모든 웹사이트는 HTML 스타일 시트를 모방하고 탐지를 회피하려는 명백한 노력의 일환으로 'style.css' 및 'css.php'라는 이름의 PHP 스크립트를 준비하는 다른 수단을 통해 이전에 손상된 것으로 추정됩니다.

이러한 스크립트는 WebSocket을 생성하고 다른 서버에 연결하여 실제 스키머를 가져오는 또 다른 난독화된 JavaScript 코드를 로드하도록 설계되었습니다.

스크립트는 현재 웹 페이지의 URL을 전송하며, 이를 통해 공격자는 감염된 각 사이트에 대해 사용자 정의된 응답을 보낼 수 있습니다. 두 번째 레이어 스크립트의 일부 버전은 로그인한 WordPress 사용자가 로드했는지 확인하고 그에 대한 응답을 수정하기도 합니다.

Caesar Cipher Skimmer의 운영자는 러시아인일 가능성이 높습니다.

일부 스크립트 버전에는 러시아어로 작성된 설명이 포함되어 있으며, 이는 작업 배후의 위협 행위자가 러시아어를 사용하는 것일 수 있음을 나타냅니다.

공격은 WooCommerce의 'form-checkout.php' 파일 수정에만 의존하지 않습니다. 또한 공격자들은 합법적인 WPCode 플러그인을 악용하여 웹사이트 데이터베이스에 스키머를 삽입했습니다.

Magento 기반 웹사이트에서는 core_config_data와 같은 데이터베이스 테이블에서 JavaScript 주입이 발견됩니다. OpenCart 사이트에 사용되는 방법은 현재로서는 알려지지 않았습니다. 웹 사이트 플랫폼으로 널리 채택됨에 따라 WordPress와 광범위한 플러그인 생태계는 악의적인 행위자에게 유리한 표적이 되어 공격할 수 있는 충분한 기회를 제공합니다.

웹사이트 소유자는 정기적으로 CMS 소프트웨어 및 플러그인을 업데이트하고, 강력한 비밀번호 관행을 유지하며, 정기적인 감사를 실시하여 의심스러운 관리자 계정을 탐지해야 합니다.

스키머 피해자는 심각한 결과를 견딜 수 있습니다

Magecart 공격 또는 디지털 스키밍이라고도 알려진 신용 카드 웹 스키머는 소비자와 기업 모두에게 심각한 결과를 초래할 수 있습니다.

• 재정적 손실 : 스키머는 손상된 웹사이트에 입력된 신용카드 정보를 수집합니다. 이 정보는 사기 거래에 사용되어 영향을 받는 개인에게 직접적인 금전적 손실을 초래합니다.
• 신원 도용 : 수집된 신용 카드 정보는 새 계좌 개설, 피해자의 이름으로 무단 구매 등 신원 도용 목적으로 사용될 수 있습니다.
• 비즈니스 평판 손상 : 스키밍 공격을 받은 기업은 평판이 손상되고 고객 신뢰도 상실될 수 있습니다. 소비자는 보안 위반이 발생한 웹사이트에서 쇼핑을 피할 수 있습니다.
• 규제 처벌 : 관할권에 따라 기업은 고객 데이터를 적절하게 보호하지 못한 경우 벌금이 부과되거나 처벌을 받을 수 있습니다. GDPR이나 CCPA와 같은 데이터 보호 규정에 대한 제출도 손상될 수 있습니다.
• 운영 중단 : 스키밍 공격의 영향을 완화하려면 상당한 리소스와 시간이 필요합니다. 기업은 위반 사항을 조사하고 해결하기 위해 웹사이트나 서비스를 일시적으로 종료해야 할 수 있으며, 이로 인해 운영 중단 및 재정적 영향이 발생할 수 있습니다.
• 수익에 대한 장기적인 영향 : 스키밍 공격을 완화한 후에도 기업은 침해로 인해 고객 트래픽과 매출이 감소할 수 있습니다. 고객의 신뢰를 회복하고 긍정적인 평판을 재구축하는 것은 장기적인 과제가 될 수 있습니다.

요약하자면, 신용 카드 웹 스키머는 소비자와 기업 모두에게 심각한 위험을 초래하여 금융 안정성, 신뢰성 및 규정 준수에 영향을 미칩니다. 정기적인 보안 감사, 강력한 암호화 관행, 신속한 소프트웨어 업데이트와 같은 예방 조치는 이러한 위험을 완화하고 안전하지 않은 활동으로부터 보호하는 데 필수적입니다.