Caesar Cipher Skimmer

Несколько широко используемых систем управления контентом (CMS), таких как Magento, WordPress и OpenCart, недавно столкнулись с новым веб-скиммером кредитных карт, известным как Caesar Cipher Skimmer. Это вредоносное ПО проникает на сайты электронной коммерции с целью тайного сбора финансовых и платежных данных.

Атака была специально нацелена на плагин WooCommerce для WordPress, где он манипулировал PHP-файлом form-checkout.php для извлечения информации о кредитной карте. Исследователи, наблюдавшие за ситуацией, отметили, что внедренный код был изменен, чтобы уменьшить его видимость за счет минимизации запутывания скрипта.

Скиммер Caesar Cipher может быть развернут на ранее скомпрометированных сайтах

В частности, он использует тот же механизм подстановки, что и шифр Цезаря, для кодирования угрожающего фрагмента кода в искаженную строку и сокрытия внешнего домена, который используется для размещения полезных данных. Предполагается, что все веб-сайты ранее были скомпрометированы другими способами с целью размещения PHP-скрипта под именами «style.css» и «css.php» в очевидной попытке имитировать таблицу стилей HTML и избежать обнаружения.

Эти сценарии, в свою очередь, предназначены для загрузки другого запутанного кода JavaScript, который создает WebSocket и подключается к другому серверу для получения фактического скиммера.

Скрипт отправляет URL-адрес текущих веб-страниц, что позволяет злоумышленникам отправлять индивидуальные ответы для каждого зараженного сайта. Некоторые версии сценария второго уровня даже проверяют, загружен ли он вошедшим в систему пользователем WordPress, и изменяют для него ответ.

Операторы скиммера шифра Цезаря, скорее всего, русские

Некоторые версии сценария содержат комментарии, написанные на русском языке, что указывает на то, что участники операции могут быть русскоязычными.

Атака основана не только на изменении файла form-checkout.php в WooCommerce; Злоумышленники также использовали законный плагин WPCode для внедрения скиммера в базы данных веб-сайтов.

На веб-сайтах на основе Magento инъекции JavaScript находятся в таблицах базы данных, таких как core_config_data. Метод, используемый для сайтов OpenCart, в настоящее время остается неизвестным. Благодаря широкому распространению в качестве платформы для веб-сайтов WordPress и его обширная экосистема плагинов стали прибыльными целями для злоумышленников, предоставляя им широкие возможности для атак.

Владельцам веб-сайтов необходимо регулярно обновлять свое программное обеспечение и плагины CMS, поддерживать надежные методы использования паролей и проводить периодические проверки для обнаружения любых подозрительных учетных записей администраторов.

Жертвы скиммера могут понести серьезные последствия

Веб-скиммеры кредитных карт, также известные как атаки Magecart или цифровой скимминг, могут иметь серьезные последствия как для потребителей, так и для бизнеса:

• Финансовые потери : скиммеры собирают данные кредитных карт, введенные на взломанных веб-сайтах. Эта информация затем используется для мошеннических транзакций, что приводит к прямым финансовым потерям для пострадавших лиц.
• Кража личных данных : собранная информация о кредитной карте может быть использована в целях кражи личных данных, включая открытие новых счетов или совершение несанкционированных покупок на имя жертвы.
• Ущерб деловой репутации . Компании, подвергшиеся скимминговой атаке, могут столкнуться с ущербом для своей репутации и потерей доверия клиентов. Потребители могут избегать покупок на веб-сайтах, которые подверглись нарушениям безопасности.
• Нормативные штрафы : в зависимости от юрисдикции предприятия могут быть оштрафованы и подвергнуты штрафам за неспособность обеспечить адекватную защиту данных клиентов. Соблюдение правил защиты данных, таких как GDPR или CCPA, также может быть нарушено.
• Нарушение операционной деятельности : смягчение последствий скимминг-атаки требует значительных ресурсов и времени. Предприятиям может потребоваться временно закрыть свои веб-сайты или службы для расследования и устранения нарушений, что приведет к сбоям в работе и финансовым последствиям.
• Долгосрочное влияние на доходы : даже после смягчения последствий скимминговой атаки компании могут столкнуться с сокращением клиентского трафика и продаж в результате нарушения. Восстановление доверия клиентов и восстановление положительной репутации может оказаться долгосрочной задачей.

Таким образом, веб-скиммеры кредитных карт представляют значительные риски как для потребителей, так и для бизнеса, влияя на финансовую стабильность, надежность и соответствие нормативным требованиям. Превентивные меры, такие как регулярные проверки безопасности, надежные методы шифрования и своевременное обновление программного обеспечения, необходимы для снижения этих рисков и защиты от таких небезопасных действий.