Caesar Cipher Skimmer

ระบบจัดการเนื้อหา (CMS) ที่ใช้กันอย่างแพร่หลายหลายระบบ เช่น Magento, WordPress และ OpenCart เพิ่งพบ Web skimmer ของบัตรเครดิตรูปแบบใหม่ที่เรียกว่า Caesar Cipher Skimmer มัลแวร์นี้แทรกซึมเข้าไปในเว็บไซต์อีคอมเมิร์ซโดยมีจุดประสงค์เพื่อรวบรวมรายละเอียดทางการเงินและการชำระเงินอย่างซ่อนเร้น

แคมเปญโจมตีกำหนดเป้าหมายไปที่ปลั๊กอิน WooCommerce สำหรับ WordPress โดยเฉพาะ โดยจัดการไฟล์ PHP 'form-checkout.php' เพื่อดึงข้อมูลบัตรเครดิต นักวิจัยที่ดูแลสถานการณ์ได้ตั้งข้อสังเกตว่าโค้ดที่แทรกได้รับการเปลี่ยนแปลงเพื่อลดการมองเห็นโดยการลดความยุ่งเหยิงของสคริปต์ให้เหลือน้อยที่สุด

Caesar Cipher Skimmer อาจถูกนำไปใช้กับไซต์ที่ถูกบุกรุกก่อนหน้านี้

โดยเฉพาะอย่างยิ่ง ใช้กลไกการแทนที่แบบเดียวกับที่ใช้ในรหัส Caesar เพื่อเข้ารหัสส่วนของโค้ดที่เป็นอันตรายให้เป็นสตริงที่อ่านไม่ออก และปกปิดโดเมนภายนอกที่ใช้ในการโฮสต์เพย์โหลด สันนิษฐานว่าก่อนหน้านี้เว็บไซต์ทั้งหมดเคยถูกโจมตีด้วยวิธีการอื่นในการแสดงสคริปต์ PHP ที่ใช้ชื่อ 'style.css' และ 'css.php' ในความพยายามที่ชัดเจนในการเลียนแบบสไตล์ชีต HTML และหลบเลี่ยงการตรวจจับ

ในทางกลับกันสคริปต์เหล่านี้ได้รับการออกแบบมาเพื่อโหลดโค้ด JavaScript อื่นที่สร้างความสับสนซึ่งสร้าง WebSocket และเชื่อมต่อกับเซิร์ฟเวอร์อื่นเพื่อดึงข้อมูลสกิมเมอร์จริง

สคริปต์จะส่ง URL ของหน้าเว็บปัจจุบัน ซึ่งช่วยให้ผู้โจมตีสามารถส่งการตอบสนองที่กำหนดเองสำหรับไซต์ที่ติดไวรัสแต่ละไซต์ สคริปต์เลเยอร์ที่สองบางเวอร์ชันจะตรวจสอบว่าผู้ใช้ WordPress ที่เข้าสู่ระบบโหลดหรือไม่ และแก้ไขการตอบกลับ

ผู้ดำเนินการ Caesar Cipher Skimmer น่าจะเป็นชาวรัสเซีย

สคริปต์บางเวอร์ชันมีความคิดเห็นที่เขียนเป็นภาษารัสเซีย ซึ่งบ่งชี้ว่าผู้คุกคามที่อยู่เบื้องหลังปฏิบัติการนี้อาจพูดภาษารัสเซีย

การโจมตีไม่เพียงแต่อาศัยการแก้ไขไฟล์ 'form-checkout.php' ใน WooCommerce เท่านั้น; ผู้โจมตียังใช้ประโยชน์จากปลั๊กอิน WPCode ที่ถูกกฎหมายเพื่อแทรกสกิมเมอร์ลงในฐานข้อมูลของเว็บไซต์

ในเว็บไซต์ที่ใช้ Magento การแทรก JavaScript จะพบได้ในตารางฐานข้อมูล เช่น core_config_data วิธีการที่ใช้สำหรับไซต์ OpenCart ยังไม่ทราบในขณะนี้ เนื่องจากมีการใช้อย่างแพร่หลายในฐานะแพลตฟอร์มเว็บไซต์ WordPress และระบบนิเวศของปลั๊กอินที่กว้างขวางจึงกลายเป็นเป้าหมายที่มีกำไรสำหรับผู้ไม่หวังดี ทำให้พวกเขามีโอกาสในการโจมตีที่เพียงพอ

เจ้าของเว็บไซต์จำเป็นต้องอัปเดตซอฟต์แวร์และปลั๊กอิน CMS ของตนเป็นประจำ รักษาแนวทางปฏิบัติในการใช้รหัสผ่านที่รัดกุม และดำเนินการตรวจสอบเป็นระยะเพื่อตรวจจับบัญชีผู้ดูแลระบบที่น่าสงสัย

ผู้ที่ตกเป็นเหยื่อของสกิมเมอร์สามารถทนต่อผลที่ตามมาร้ายแรงได้

Web skimmers ของบัตรเครดิตหรือที่รู้จักกันในชื่อการโจมตี Magecart หรือ digital skimming อาจส่งผลกระทบร้ายแรงต่อทั้งผู้บริโภคและธุรกิจ:

• การสูญเสียทางการเงิน : Skimmers เก็บเกี่ยวรายละเอียดบัตรเครดิตที่ป้อนบนเว็บไซต์ที่ถูกบุกรุก จากนั้นข้อมูลนี้จะใช้สำหรับธุรกรรมที่ฉ้อโกง ซึ่งนำไปสู่ความสูญเสียทางการเงินโดยตรงสำหรับบุคคลที่ได้รับผลกระทบ
• การขโมยข้อมูลระบุตัวตน : ข้อมูลบัตรเครดิตที่รวบรวมมาสามารถใช้เพื่อวัตถุประสงค์ในการขโมยข้อมูลประจำตัวได้ รวมถึงการเปิดบัญชีใหม่หรือทำการซื้อโดยไม่ได้รับอนุญาตในนามของเหยื่อ
• ความเสียหายต่อชื่อเสียงทางธุรกิจ : บริษัทที่ถูกโจมตีแบบ skimming อาจเผชิญกับความเสียหายต่อชื่อเสียงและสูญเสียความไว้วางใจของลูกค้า ผู้บริโภคอาจหลีกเลี่ยงการช้อปปิ้งบนเว็บไซต์ที่ประสบปัญหาการละเมิดความปลอดภัย
• บทลงโทษตามกฎระเบียบ : ธุรกิจอาจถูกปรับและได้รับบทลงโทษหากไม่สามารถปกป้องข้อมูลลูกค้าอย่างเพียงพอ ทั้งนี้ขึ้นอยู่กับเขตอำนาจศาล การส่งกฎระเบียบการปกป้องข้อมูลเช่น GDPR หรือ CCPA อาจถูกบุกรุกเช่นกัน
• การหยุดชะงักในการปฏิบัติงาน : การบรรเทาผลกระทบจากการโจมตีแบบ Skimming ต้องใช้ทรัพยากรและเวลาจำนวนมาก ธุรกิจอาจจำเป็นต้องปิดเว็บไซต์หรือบริการของตนชั่วคราวเพื่อตรวจสอบและแก้ไขการละเมิด ซึ่งนำไปสู่การหยุดชะงักในการดำเนินงานและผลกระทบทางการเงิน
• ผลกระทบระยะยาวต่อรายได้ : แม้หลังจากบรรเทาการโจมตีแบบ Skimming แล้ว ธุรกิจก็อาจพบว่าปริมาณการใช้ข้อมูลและการขายของลูกค้าลดลงอันเป็นผลมาจากการละเมิด การฟื้นคืนความมั่นใจของลูกค้าและการสร้างชื่อเสียงเชิงบวกขึ้นมาใหม่อาจเป็นความท้าทายในระยะยาว

โดยสรุป เว็บสกิมเมอร์ของบัตรเครดิตก่อให้เกิดความเสี่ยงที่สำคัญต่อทั้งผู้บริโภคและธุรกิจ ซึ่งส่งผลกระทบต่อเสถียรภาพทางการเงิน ความน่าเชื่อถือ และการปฏิบัติตามกฎระเบียบ มาตรการป้องกัน เช่น การตรวจสอบความปลอดภัยเป็นประจำ การเข้ารหัสที่มีประสิทธิภาพ และการอัปเดตซอฟต์แวร์โดยทันที มีความสำคัญในการลดความเสี่ยงเหล่านี้และป้องกันกิจกรรมที่ไม่ปลอดภัยดังกล่าว