Caesar Cipher Skimmer

Niekoľko široko používaných systémov na správu obsahu (CMS), ako napríklad Magento, WordPress a OpenCart, sa nedávno stretlo s novým webovým skimmerom kreditných kariet známym ako Caesar Cipher Skimmer. Tento malvér preniká na webové stránky elektronického obchodu so zámerom tajne zhromažďovať finančné a platobné údaje.

Útočná kampaň sa špecificky zamerala na doplnok WooCommerce pre WordPress, kde manipuloval s PHP súborom „form-checkout.php“, aby získal informácie o kreditnej karte. Výskumníci, ktorí dohliadajú na situáciu, zaznamenali, že vložený kód bol pozmenený, aby sa znížila jeho viditeľnosť minimalizáciou zahmlievania skriptu.

Skimmer Caesar Cipher môže byť nasadený na predtým kompromitované stránky

Konkrétne využíva rovnaký substitučný mechanizmus ako v Caesarovej šifre na zakódovanie hrozivého kódu do skomoleného reťazca a skrytie externej domény, ktorá sa používa na hosťovanie užitočného zaťaženia. Predpokladá sa, že všetky webové stránky boli predtým kompromitované inými prostriedkami na vytvorenie PHP skriptu, ktorý sa nazýva „style.css“ a „css.php“ v zjavnej snahe napodobniť šablónu so štýlmi HTML a vyhnúť sa detekcii.

Tieto skripty sú zase navrhnuté tak, aby načítali ďalší zahmlený kód JavaScript, ktorý vytvára WebSocket a pripája sa k inému serveru, aby získal skutočný skimmer.

Skript odošle URL aktuálnych webových stránok, čo útočníkom umožní posielať prispôsobené odpovede pre každú infikovanú stránku. Niektoré verzie skriptu druhej vrstvy dokonca kontrolujú, či je načítaný prihláseným používateľom WordPress a upravujú za ne odpoveď.

Operátori Caesar Cipher Skimmer sú pravdepodobne Rusi

Niektoré verzie scenára obsahujú komentáre napísané v ruštine, čo naznačuje, že aktéri hrozby za operáciou môžu byť rusky hovoriaci.

Útok sa nespolieha len na úpravu súboru 'form-checkout.php' vo WooCommerce; útočníci tiež využili legitímny doplnok WPCode na vloženie skimmeru do databáz webových stránok.

Na webových stránkach založených na Magento sa injekcie JavaScriptu nachádzajú v databázových tabuľkách, ako napríklad core_config_data. Metóda použitá pre stránky OpenCart zostáva v súčasnosti neznáma. Vďaka širokému prijatiu ako platforma webových stránok sa WordPress a jeho rozsiahly ekosystém doplnkov stali lukratívnymi cieľmi pre škodlivých aktérov, ktorí im poskytujú dostatok príležitostí na útoky.

Je nevyhnutné, aby vlastníci webových stránok pravidelne aktualizovali svoj CMS softvér a doplnky, udržiavali postupy s použitím silných hesiel a vykonávali pravidelné audity na odhalenie akýchkoľvek podozrivých správcovských účtov.

Obete skimmeru môžu znášať vážne následky

Webové skimmery kreditných kariet, známe tiež ako útoky Magecart alebo digitálny skimming, môžu mať vážne následky pre spotrebiteľov aj podniky:

• Finančné straty : Skimmery získavajú údaje o kreditných kartách zadané na napadnutých webových stránkach. Tieto informácie sa potom používajú na podvodné transakcie, čo vedie k priamym finančným stratám pre dotknuté osoby.
• Krádež identity : Zhromaždené informácie o kreditnej karte možno použiť na účely krádeže identity vrátane otvárania nových účtov alebo neoprávnených nákupov v mene obete.
• Poškodenie obchodnej reputácie : Spoločnosti, ktoré utrpeli skimmingový útok, môžu čeliť poškodeniu svojej reputácie a strate dôvery zákazníkov. Spotrebitelia sa môžu vyhýbať nakupovaniu na webových stránkach, na ktorých došlo k narušeniu bezpečnosti.
• Regulačné sankcie : V závislosti od jurisdikcie môžu byť podniky pokutované a môžu dostať sankcie za nedostatočnú ochranu údajov zákazníkov. Ohrozené môže byť aj podriadenie sa nariadeniam o ochrane údajov, ako sú GDPR alebo CCPA.
• Prevádzkové narušenie : Zmiernenie účinkov skimmingového útoku si vyžaduje značné zdroje a čas. Firmy možno budú musieť dočasne vypnúť svoje webové stránky alebo služby, aby vyšetrili a napravili porušenie, čo povedie k prerušeniu prevádzky a finančným dopadom.
• Dlhodobý vplyv na výnosy : Dokonca aj po zmiernení skimmingového útoku môžu podniky v dôsledku porušenia zaznamenať zníženú návštevnosť zákazníkov a predaj. Obnovenie dôvery zákazníkov a opätovné vybudovanie pozitívnej reputácie môže byť dlhodobá výzva.

Stručne povedané, webové skimmery kreditných kariet predstavujú významné riziká pre spotrebiteľov aj podniky, čo má vplyv na finančnú stabilitu, dôveryhodnosť a súlad s predpismi. Preventívne opatrenia, ako sú pravidelné bezpečnostné audity, robustné postupy šifrovania a rýchle aktualizácie softvéru, sú nevyhnutné na zmiernenie týchto rizík a ochranu pred takýmito nebezpečnými činnosťami.