Caesar Cipher Skimmer

Flere mye brukte Content Management Systems (CMS), for eksempel Magento, WordPress og OpenCart, har nylig møtt en ny kredittkort-nettskimmer kjent som Caesar Cipher Skimmer. Denne skadelige programvaren infiltrerer e-handelsnettsteder med den hensikt å i det skjulte samle inn økonomiske og betalingsopplysninger.

Angrepskampanjen var spesifikt rettet mot WooCommerce-pluginen for WordPress, der den manipulerte PHP-filen 'form-checkout.php' for å trekke ut kredittkortinformasjon. Forskere som overvåker situasjonen har lagt merke til at den injiserte koden har blitt endret for å redusere synligheten ved å minimere tilsløringen av skriptet.

Caesar Cipher Skimmer kan distribueres til tidligere kompromitterte nettsteder

Nærmere bestemt bruker den den samme substitusjonsmekanismen som brukes i Caesar-chiffer for å kode den truende kodebiten til en forvansket streng og skjule det eksterne domenet som brukes til å være vert for nyttelasten. Det antas at alle nettstedene tidligere har blitt kompromittert på andre måter for å iscenesette et PHP-skript som går under navnene 'style.css' og 'css.php' i et tilsynelatende forsøk på å etterligne et HTML-stilark og unngå gjenkjenning.

Disse skriptene er i sin tur designet for å laste en annen skjult JavaScript-kode som lager en WebSocket og kobler til en annen server for å hente den faktiske skimmeren.

Skriptet sender URL-en til gjeldende nettsider, som lar angriperne sende tilpassede svar for hvert infisert nettsted. Noen versjoner av andrelagsskriptet sjekker til og med om det er lastet inn av en pålogget WordPress-bruker og endrer svaret for dem.

Operatørene av Caesar Cipher Skimmer er sannsynligvis russiske

Noen versjoner av manuset inneholder kommentarer skrevet på russisk, som indikerer at trusselaktørene bak operasjonen kan være russisktalende.

Angrepet er ikke bare avhengig av å endre 'form-checkout.php'-filen i WooCommerce; angripere har også utnyttet den legitime WPCode-pluginen for å injisere skimmeren i nettsidens databaser.

På Magento-baserte nettsteder finnes JavaScript-injeksjoner i databasetabeller som core_config_data. Metoden som brukes for OpenCart-nettsteder er foreløpig ukjent. På grunn av den utbredte bruken som en nettstedsplattform, har WordPress og dets omfattende plugin-økosystem blitt lukrative mål for ondsinnede aktører, og gir dem store muligheter for angrep.

Det er nødvendig for nettstedeiere å jevnlig oppdatere CMS-programvaren og plugins, opprettholde sterke passordpraksis og gjennomføre periodiske revisjoner for å oppdage mistenkelige administratorkontoer.

Ofre for en skimmer kan tåle alvorlige konsekvenser

Kredittkort-nettskimmere, også kjent som Magecart-angrep eller digital skimming, kan ha alvorlige konsekvenser for både forbrukere og bedrifter:

• Økonomiske tap : Skimmere høster kredittkortopplysninger som er lagt inn på kompromitterte nettsteder. Denne informasjonen brukes deretter til uredelige transaksjoner, som fører til direkte økonomiske tap for berørte personer.
• Identitetstyveri : Innhentet kredittkortinformasjon kan brukes til identitetstyveriformål, inkludert å åpne nye kontoer eller foreta uautoriserte kjøp i offerets navn.
• Skade på forretningsomdømmet : Bedrifter som lider av et skimming-angrep kan bli utsatt for skade på sitt omdømme og tap av kundetillit. Forbrukere kan unngå å handle på nettsteder som har opplevd sikkerhetsbrudd.
• Regulatoriske straffer : Avhengig av jurisdiksjonen kan bedrifter bli bøtelagt og få straff for å ikke beskytte kundedata tilstrekkelig. Innlevering til databeskyttelsesforskrifter som GDPR eller CCPA kan også bli kompromittert.
• Driftsforstyrrelser : Å dempe effekten av et skimming-angrep krever betydelige ressurser og tid. Bedrifter kan trenge midlertidig å stenge ned sine nettsider eller tjenester for å undersøke og rette opp bruddet, noe som fører til driftsforstyrrelser og økonomiske konsekvenser.
• Langsiktig innvirkning på inntekter : Selv etter å ha dempet et skimming-angrep, kan bedrifter oppleve redusert kundetrafikk og salg som følge av bruddet. Å gjenopprette kundens tillit og gjenoppbygge et positivt omdømme kan være en langsiktig utfordring.

Oppsummert utgjør kredittkort-nettskimmere betydelig risiko for både forbrukere og bedrifter, og påvirker finansiell stabilitet, pålitelighet og overholdelse av regelverk. Forebyggende tiltak, som regelmessige sikkerhetsrevisjoner, robust krypteringspraksis og umiddelbare programvareoppdateringer, er avgjørende for å redusere disse risikoene og beskytte mot slike utrygge aktiviteter.