Caesar Cipher-skimmer

Tegen Mezo in Malware

Vertalen naar:

Verschillende veelgebruikte Content Management Systemen (CMS), zoals Magento, WordPress en OpenCart, zijn onlangs een nieuwe creditcard-webskimmer tegengekomen, bekend als de Caesar Cipher Skimmer. Deze malware infiltreert e-commercewebsites met de bedoeling heimelijk financiële en betalingsgegevens te verzamelen.

De aanvalscampagne was specifiek gericht op de WooCommerce-plug-in voor WordPress, waar deze het PHP-bestand 'form-checkout.php' manipuleerde om creditcardgegevens te extraheren. Onderzoekers die toezicht houden op de situatie hebben opgemerkt dat de geïnjecteerde code is gewijzigd om de zichtbaarheid ervan te verminderen door de verduistering van het script te minimaliseren.

Inhoudsopgave

De Caesar Cipher Skimmer kan worden ingezet op eerder gecompromitteerde locaties

Concreet maakt het gebruik van hetzelfde vervangingsmechanisme dat wordt gebruikt in het Caesar-cijfer om het bedreigende stukje code in een onleesbare reeks te coderen en het externe domein te verbergen dat wordt gebruikt om de lading te hosten. Er wordt aangenomen dat alle websites eerder op andere manieren zijn gecompromitteerd door een PHP-script met de namen 'style.css' en 'css.php' te maken in een schijnbare poging om een HTML-stylesheet na te bootsen en detectie te omzeilen.

Deze scripts zijn op hun beurt ontworpen om nog een versluierde JavaScript-code te laden die een WebSocket creëert en verbinding maakt met een andere server om de daadwerkelijke skimmer op te halen.

Het script verzendt de URL van de huidige webpagina's, waardoor de aanvallers voor elke geïnfecteerde site aangepaste antwoorden kunnen sturen. Sommige versies van het tweedelaagsscript controleren zelfs of het is geladen door een ingelogde WordPress-gebruiker en passen het antwoord voor hen aan.

De operators van de Caesar Cipher Skimmer zijn waarschijnlijk Russisch

Sommige versies van het script bevatten commentaar in het Russisch, wat aangeeft dat de dreigingsactoren achter de operatie mogelijk Russisch sprekend zijn.

De aanval berust niet alleen op het wijzigen van het 'form-checkout.php'-bestand in WooCommerce; aanvallers hebben ook de legitieme WPCode-plug-in misbruikt om de skimmer in websitedatabases te injecteren.

Op Magento-gebaseerde websites zijn JavaScript-injecties te vinden in databasetabellen zoals core_config_data. De methode die voor OpenCart-sites wordt gebruikt, is op dit moment nog onbekend. Dankzij de wijdverbreide adoptie als websiteplatform zijn WordPress en zijn uitgebreide plug-in-ecosysteem lucratieve doelwitten geworden voor kwaadwillende actoren, waardoor ze ruime mogelijkheden hebben voor aanvallen.

Het is noodzakelijk voor website-eigenaren om hun CMS-software en plug-ins regelmatig bij te werken, sterke wachtwoordpraktijken te hanteren en periodieke audits uit te voeren om verdachte beheerdersaccounts op te sporen.

Slachtoffers van een skimmer kunnen ernstige gevolgen ondervinden

Creditcard-webskimmers, ook wel Magecart-aanvallen of digitale skimming genoemd, kunnen ernstige gevolgen hebben voor zowel consumenten als bedrijven:

Financiële verliezen : Skimmers verzamelen creditcardgegevens die zijn ingevoerd op gecompromitteerde websites. Deze informatie wordt vervolgens gebruikt voor frauduleuze transacties, wat leidt tot directe financiële verliezen voor de getroffen personen.
Identiteitsdiefstal : De verzamelde creditcardgegevens kunnen worden gebruikt voor identiteitsdiefstal, waaronder het openen van nieuwe accounts of het doen van ongeautoriseerde aankopen op naam van het slachtoffer.
Schade aan de bedrijfsreputatie : Bedrijven die te maken krijgen met een skimming-aanval kunnen te maken krijgen met reputatieschade en verlies van klantvertrouwen. Consumenten kunnen winkelen vermijden op websites die inbreuken op de beveiliging hebben ondervonden.
Regelgevende sancties : Afhankelijk van het rechtsgebied kunnen bedrijven boetes krijgen als ze er niet in slagen klantgegevens adequaat te beschermen. Ook de naleving van regelgeving op het gebied van gegevensbescherming, zoals AVG of CCPA, kan in gevaar komen.
Operationele verstoring : het verzachten van de effecten van een skimming-aanval vereist aanzienlijke middelen en tijd. Bedrijven moeten mogelijk hun websites of diensten tijdelijk afsluiten om de inbreuk te onderzoeken en te verhelpen, wat kan leiden tot operationele verstoring en financiële gevolgen.
Gevolgen op lange termijn voor de omzet : zelfs nadat een skimming-aanval is tegengegaan, kunnen bedrijven als gevolg van de inbreuk te maken krijgen met minder klantenverkeer en minder omzet. Het herstellen van het vertrouwen van klanten en het opnieuw opbouwen van een positieve reputatie kan een uitdaging voor de lange termijn zijn.

Samenvattend vormen webskimmers op creditcards aanzienlijke risico's voor zowel consumenten als bedrijven, wat gevolgen heeft voor de financiële stabiliteit, betrouwbaarheid en naleving van de regelgeving. Preventieve maatregelen, zoals regelmatige beveiligingsaudits, robuuste encryptiepraktijken en snelle software-updates, zijn essentieel om deze risico's te beperken en bescherming te bieden tegen dergelijke onveilige activiteiten.

Promoot SpyHunter via ShareASale en ontvang een uitbetaling van 55%

Zoeken

Veranderen van regio

Caesar Cipher-skimmer

De Caesar Cipher Skimmer kan worden ingezet op eerder gecompromitteerde locaties

De operators van de Caesar Cipher Skimmer zijn waarschijnlijk Russisch

Slachtoffers van een skimmer kunnen ernstige gevolgen ondervinden

Commentaar toevoegen

Trending

Watz-ransomware

Lerophogainsub.com

Highcpmgate

Meest bekeken

Discord toont zwart scherm bij delen van scherm

Hoe de fout 'Printerstuurprogramma is niet...

Wat is Msedge.exe?