Caesar Cipher Skimmer

Več široko uporabljenih sistemov za upravljanje vsebine (CMS), kot so Magento, WordPress in OpenCart, je nedavno naletelo na nov spletni skimmer za kreditne kartice, znan kot Caesar Cipher Skimmer. Ta zlonamerna programska oprema se infiltrira na spletna mesta e-trgovine z namenom prikritega zbiranja finančnih in plačilnih podatkov.

Kampanja napada je bila posebej usmerjena na vtičnik WooCommerce za WordPress, kjer je manipuliral z datoteko PHP 'form-checkout.php' za pridobivanje podatkov o kreditni kartici. Raziskovalci, ki nadzorujejo situacijo, so opazili, da je bila vbrizgana koda spremenjena, da se zmanjša njena vidnost z zmanjšanjem zamegljenosti skripta.

Caesar Cipher Skimmer se lahko namesti na predhodno ogrožena mesta

Natančneje, uporablja isti nadomestni mehanizem, uporabljen v Caesarjevi šifri, da kodira grozeči del kode v popačen niz in prikrije zunanjo domeno, ki se uporablja za gostovanje tovora. Domneva se, da so bila vsa spletna mesta predhodno ogrožena z drugimi sredstvi za pripravo skripta PHP z imeni 'style.css' in 'css.php' v očitnem poskusu posnemanja slogovnega lista HTML in izogibanja zaznavanju.

Ti skripti pa so zasnovani za nalaganje druge zakrite kode JavaScript, ki ustvari WebSocket in se poveže z drugim strežnikom, da pridobi dejanski skimmer.

Skript pošlje URL trenutnih spletnih strani, kar napadalcem omogoča pošiljanje prilagojenih odgovorov za vsako okuženo spletno mesto. Nekatere različice skripta druge plasti celo preverijo, ali ga je naložil prijavljeni uporabnik WordPressa, in spremenijo odgovor namesto njih.

Upravljavci Caesar Cipher Skimmerja so verjetno Rusi

Nekatere različice scenarija vsebujejo komentarje, napisane v ruščini, ki nakazujejo, da so akterji groženj, ki stojijo za operacijo, morda rusko govoreči.

Napad se ne zanaša samo na spreminjanje datoteke 'form-checkout.php' v WooCommerce; napadalci so izkoristili tudi zakonit vtičnik WPCode za vbrizgavanje skimmerja v baze podatkov spletnih strani.

Na spletnih mestih, ki temeljijo na Magentu, so injekcije JavaScripta v tabelah baze podatkov, kot je core_config_data. Metoda, uporabljena za spletna mesta OpenCart, trenutno ostaja neznana. WordPress in njegov obsežen ekosistem vtičnikov sta zaradi svoje široke uveljavitve kot platforme spletnega mesta postala donosna tarča za zlonamerne akterje, saj jim ponuja veliko možnosti za napade.

Lastniki spletnih mest morajo redno posodabljati svojo programsko opremo CMS in vtičnike, vzdrževati stroge prakse gesla in izvajati redne revizije, da odkrijejo morebitne sumljive skrbniške račune.

Žrtve skimmerja bi lahko utrpele resne posledice

Spletni posnemovalci kreditnih kartic, znani tudi kot napadi na Magecart ali digitalno posnemanje, imajo lahko resne posledice za potrošnike in podjetja:

• Finančne izgube : Skimmerji zbirajo podatke o kreditni kartici, vnesene na ogroženih spletnih mestih. Te informacije se nato uporabijo za goljufive transakcije, kar povzroči neposredne finančne izgube za prizadete posameznike.
• Kraja identitete : pridobljene podatke o kreditni kartici je mogoče uporabiti za krajo identitete, vključno z odpiranjem novih računov ali nepooblaščenimi nakupi v imenu žrtve.
• Poškodba poslovnega ugleda : podjetja, ki so izpostavljena napadu posnemanja, se lahko soočijo s škodo za svoj ugled in izgubo zaupanja strank. Potrošniki se lahko izognejo nakupovanju na spletnih mestih, kjer je prišlo do kršitev varnosti.
• Regulativne kazni : Odvisno od jurisdikcije so lahko podjetja kaznovana ali kaznovana, ker niso ustrezno zaščitila podatkov o strankah. Ogroženo je lahko tudi upoštevanje predpisov o varstvu podatkov, kot sta GDPR ali CCPA.
• Motnje v delovanju : Ublažitev učinkov posnetka zahteva znatna sredstva in čas. Podjetja bodo morda morala začasno zapreti svoja spletna mesta ali storitve, da raziščejo in odpravijo kršitev, kar povzroči motnje v delovanju in finančne posledice.
• Dolgoročni vpliv na prihodke : tudi po ublažitvi napada s posnemanjem lahko podjetja zaradi kršitve občutijo zmanjšan promet strank in prodajo. Povrnitev zaupanja strank in ponovna vzpostavitev pozitivnega ugleda je lahko dolgoročen izziv.

Če povzamemo, spletni posnemovalci kreditnih kartic predstavljajo veliko tveganje za potrošnike in podjetja, saj vplivajo na finančno stabilnost, zanesljivost in skladnost s predpisi. Preventivni ukrepi, kot so redni varnostni pregledi, zanesljive prakse šifriranja in takojšnje posodobitve programske opreme, so bistveni za ublažitev teh tveganj in zaščito pred takšnimi nevarnimi dejavnostmi.