Caesar Cipher Skimmer

Kilka powszechnie używanych systemów zarządzania treścią (CMS), takich jak Magento, WordPress i OpenCart, zetknęło się ostatnio z nowatorskim skimmerem internetowym do kart kredytowych, znanym jako Caesar Cipher Skimmer. To złośliwe oprogramowanie infiltruje witryny handlu elektronicznego z zamiarem potajemnego gromadzenia szczegółów finansowych i płatności.

Celem kampanii ataków była w szczególności wtyczka WooCommerce do WordPressa, w której manipulowano plikiem PHP „form-checkout.php” w celu wyodrębnienia informacji o karcie kredytowej. Badacze nadzorujący sytuację zauważyli, że wstrzyknięty kod został zmieniony w celu zmniejszenia jego widoczności poprzez zminimalizowanie zaciemnienia skryptu.

Skimmer szyfrujący Caesar może zostać zainstalowany w witrynach, które zostały wcześniej zainfekowane

W szczególności wykorzystuje ten sam mechanizm podstawienia, który zastosowano w szyfrze Cezara, aby zakodować zagrażający fragment kodu w zniekształcony ciąg znaków i ukryć domenę zewnętrzną używaną do hostowania ładunku. Zakłada się, że wszystkie witryny internetowe zostały wcześniej zhakowane w inny sposób w celu przygotowania skryptu PHP o nazwach „style.css” i „css.php”, co najwyraźniej miało na celu naśladowanie arkusza stylów HTML i uniknięcie wykrycia.

Te skrypty z kolei mają na celu załadowanie innego zaciemnionego kodu JavaScript, który tworzy WebSocket i łączy się z innym serwerem w celu pobrania rzeczywistego skimmera.

Skrypt wysyła adres URL bieżących stron internetowych, co umożliwia atakującym wysyłanie dostosowanych odpowiedzi dla każdej zainfekowanej witryny. Niektóre wersje skryptu drugiej warstwy sprawdzają nawet, czy jest ładowany przez zalogowanego użytkownika WordPressa i modyfikują dla niego odpowiedź.

Operatorzy skimmera szyfrującego Cezar są prawdopodobnie Rosjanami

Niektóre wersje scenariusza zawierają komentarze napisane w języku rosyjskim, wskazujące, że ugrupowania zagrażające stojące za tą operacją mogą być rosyjskojęzyczne.

Atak nie polega wyłącznie na modyfikacji pliku „form-checkout.php” w WooCommerce; napastnicy wykorzystali także legalną wtyczkę WPCode do wstrzyknięcia skimmera do baz danych witryn internetowych.

W witrynach opartych na Magento zastrzyki JavaScript znajdują się w tabelach baz danych, takich jak core_config_data. Metoda stosowana w witrynach OpenCart pozostaje obecnie nieznana. Ze względu na powszechne przyjęcie jako platformy internetowej WordPress i jego rozbudowany ekosystem wtyczek stały się lukratywnymi celami dla złośliwych aktorów, zapewniając im szerokie możliwości ataków.

Właściciele witryn muszą regularnie aktualizować oprogramowanie CMS i wtyczki, utrzymywać silne zasady dotyczące haseł i przeprowadzać okresowe audyty w celu wykrycia podejrzanych kont administratorów.

Ofiary skimmera mogą ponieść poważne konsekwencje

Skimmery internetowe kart kredytowych, znane również jako ataki Magecart lub cyfrowe skimming, mogą mieć poważne konsekwencje zarówno dla konsumentów, jak i firm:

• Straty finansowe : Skimmerzy zbierają dane kart kredytowych wprowadzone na zainfekowanych stronach internetowych. Informacje te są następnie wykorzystywane do oszukańczych transakcji, co prowadzi do bezpośrednich strat finansowych dla dotkniętych osób.
• Kradzież tożsamości : Zebrane informacje o karcie kredytowej mogą zostać wykorzystane do celów kradzieży tożsamości, w tym do otwierania nowych kont lub dokonywania nieautoryzowanych zakupów w imieniu ofiary.
• Szkoda dla reputacji biznesowej : Firmy, które padły ofiarą ataku skimmingu, mogą ponieść straty w swojej reputacji i utracie zaufania klientów. Konsumenci mogą unikać zakupów w witrynach, w których doszło do naruszeń bezpieczeństwa.
• Kary regulacyjne : w zależności od jurysdykcji firmy mogą zostać ukarane grzywną i karami za brak odpowiedniej ochrony danych klientów. Podporządkowanie się przepisom o ochronie danych, takim jak RODO lub CCPA, może również zostać zagrożone.
• Zakłócenia operacyjne : łagodzenie skutków ataku skimmingu wymaga znacznych zasobów i czasu. Firmy mogą być zmuszone do tymczasowego zamknięcia swoich stron internetowych lub usług w celu zbadania i naprawienia naruszenia, co prowadzi do zakłóceń w działalności operacyjnej i skutków finansowych.
• Długoterminowy wpływ na przychody : nawet po złagodzeniu ataku skimmingu w wyniku naruszenia firmy mogą odczuć zmniejszenie ruchu klientów i sprzedaży. Przywrócenie zaufania klientów i odbudowanie pozytywnej reputacji może być wyzwaniem długoterminowym.

Podsumowując, skimmery internetowe obsługujące karty kredytowe stwarzają znaczne ryzyko zarówno dla konsumentów, jak i przedsiębiorstw, wpływając na stabilność finansową, wiarygodność i zgodność z przepisami. Środki zapobiegawcze, takie jak regularne audyty bezpieczeństwa, solidne praktyki szyfrowania i szybkie aktualizacje oprogramowania, są niezbędne, aby ograniczyć te zagrożenia i chronić przed takimi niebezpiecznymi działaniami.