Caesar Cipher Skimmer
Flera allmänt använda Content Management System (CMS), såsom Magento, WordPress och OpenCart, har nyligen stött på en ny webbskimmer för kreditkort som kallas Caesar Cipher Skimmer. Denna skadliga programvara infiltrerar e-handelswebbplatser med avsikten att i hemlighet samla in ekonomiska och betalningsuppgifter.
Attackkampanjen riktade sig specifikt mot WooCommerce-plugin för WordPress, där den manipulerade PHP-filen 'form-checkout.php' för att extrahera kreditkortsinformation. Forskare som övervakar situationen har noterat att den injicerade koden har ändrats för att minska dess synlighet genom att minimera förvirringen av skriptet.
Innehållsförteckning
Caesar Cipher Skimmer kan distribueras till tidigare utsatta platser
Specifikt använder den samma ersättningsmekanism som används i Caesar cipher för att koda den hotande kodbiten till en förvrängd sträng och dölja den externa domänen som används för att vara värd för nyttolasten. Det antas att alla webbplatser tidigare har äventyrats på andra sätt för att iscensätta ett PHP-skript som går under namnen 'style.css' och 'css.php' i ett uppenbart försök att efterlikna en HTML-stilmall och undvika upptäckt.
Dessa skript är i sin tur designade för att ladda ytterligare en förvirrad JavaScript-kod som skapar en WebSocket och ansluter till en annan server för att hämta den faktiska skummaren.
Skriptet skickar webbadressen till de aktuella webbsidorna, vilket gör att angriparna kan skicka anpassade svar för varje infekterad webbplats. Vissa versioner av det andra lagerskriptet kontrollerar till och med om det laddas av en inloggad WordPress-användare och ändrar svaret för dem.
Operatörerna av Caesar Cipher Skimmer är sannolikt ryska
Vissa versioner av manuset innehåller kommentarer skrivna på ryska, vilket tyder på att hotaktörerna bakom operationen kan vara rysktalande.
Attacken bygger inte enbart på att modifiera filen 'form-checkout.php' i WooCommerce; angripare har också utnyttjat den legitima WPCode-plugin för att injicera skummaren i webbplatsens databaser.
På Magento-baserade webbplatser finns JavaScript-injektioner i databastabeller som core_config_data. Metoden som används för OpenCart-webbplatser är för närvarande okänd. På grund av dess utbredda användning som en webbplatsplattform har WordPress och dess omfattande plugin-ekosystem blivit lukrativa mål för illvilliga aktörer, vilket ger dem stora möjligheter till attacker.
Det är nödvändigt för webbplatsägare att regelbundet uppdatera sin CMS-programvara och plugins, upprätthålla starka lösenordspraxis och genomföra regelbundna granskningar för att upptäcka misstänkta administratörskonton.
Offer för en skimmer kan utstå allvarliga konsekvenser
Kreditkortswebbskimmer, även känd som Magecart-attacker eller digital skimming, kan få allvarliga konsekvenser för både konsumenter och företag:
- Ekonomiska förluster : Skimmers samlar in kreditkortsuppgifter som skrivs in på utsatta webbplatser. Denna information används sedan för bedrägliga transaktioner, vilket leder till direkta ekonomiska förluster för drabbade individer.
- Identitetsstöld : Skördad kreditkortsinformation kan användas för identitetsstöldsändamål, inklusive att öppna nya konton eller göra otillåtna köp i offrets namn.
- Skada på företagets rykte : Företag som drabbas av en skimming-attack kan drabbas av skada på sitt rykte och förlust av kundernas förtroende. Konsumenter kan undvika att handla på webbplatser som har upplevt säkerhetsintrång.
- Regulatoriska påföljder : Beroende på jurisdiktion kan företag bötfällas och få straff för att inte skydda kunddata på ett adekvat sätt. Underkastelse till dataskyddsbestämmelser som GDPR eller CCPA kan också äventyras.
- Driftstörning : Att mildra effekterna av en skimming attack kräver betydande resurser och tid. Företag kan behöva tillfälligt stänga ner sina webbplatser eller tjänster för att undersöka och åtgärda intrånget, vilket leder till driftstörningar och ekonomiska konsekvenser.
- Långsiktig påverkan på intäkter : Även efter att ha mildrat en skimming-attack kan företag uppleva minskad kundtrafik och försäljning som ett resultat av intrånget. Att återställa kundernas förtroende och återuppbygga ett positivt rykte kan vara en långsiktig utmaning.
Sammanfattningsvis utgör kreditkortswebbskimmer stora risker för både konsumenter och företag, vilket påverkar finansiell stabilitet, pålitlighet och regelefterlevnad. Förebyggande åtgärder, såsom regelbundna säkerhetsrevisioner, robusta krypteringsmetoder och snabba programuppdateringar, är viktiga för att minska dessa risker och skydda mot sådana osäkra aktiviteter.
