Caesar Cipher Skimmer

Ilang malawak na ginagamit na Content Management System (CMS), tulad ng Magento, WordPress at OpenCart, ay nakatagpo kamakailan ng isang nobelang credit card Web skimmer na kilala bilang Caesar Cipher Skimmer. Ang malware na ito ay pumapasok sa mga website ng e-commerce na may layuning palihim na mangolekta ng mga detalye sa pananalapi at pagbabayad.

Partikular na na-target ng campaign sa pag-atake ang WooCommerce plugin para sa WordPress, kung saan minanipula nito ang 'form-checkout.php' PHP file upang kunin ang impormasyon ng credit card. Napansin ng mga mananaliksik na nangangasiwa sa sitwasyon na ang iniksyon na code ay binago upang mabawasan ang visibility nito sa pamamagitan ng pagliit ng obfuscation ng script.

Maaaring I-deploy ang Caesar Cipher Skimmer sa mga dating Nakompromisong Site

Sa partikular, ginagamit nito ang parehong mekanismo ng pagpapalit na ginagamit sa Caesar cipher upang i-encode ang nagbabantang piraso ng code sa isang gulong string at itago ang external na domain na ginagamit upang i-host ang payload. Ipinapalagay na ang lahat ng mga website ay dati nang nakompromiso sa pamamagitan ng iba pang paraan upang magsagawa ng PHP script na may mga pangalang 'style.css' at 'css.php' sa isang maliwanag na pagsisikap na gayahin ang isang HTML style sheet at maiwasan ang pagtuklas.

Ang mga script na ito, sa turn, ay idinisenyo upang mag-load ng isa pang obfuscated JavaScript code na lumilikha ng isang WebSocket at kumokonekta sa isa pang server upang kunin ang aktwal na skimmer.

Ipinapadala ng script ang URL ng kasalukuyang mga web page, na nagpapahintulot sa mga umaatake na magpadala ng mga customized na tugon para sa bawat nahawaang site. Sinusuri pa ng ilang bersyon ng script ng pangalawang layer kung na-load ito ng isang naka-log-in na gumagamit ng WordPress at baguhin ang tugon para sa kanila.

Ang mga Operator ng Caesar Cipher Skimmer ay malamang na Ruso

Ang ilang bersyon ng script ay naglalaman ng mga komentong nakasulat sa Russian, na nagpapahiwatig na ang mga banta ng aktor sa likod ng operasyon ay maaaring nagsasalita ng Ruso.

Ang pag-atake ay hindi lamang umaasa sa pagbabago ng 'form-checkout.php' na file sa WooCommerce; Sinamantala rin ng mga umaatake ang lehitimong WPCode plugin upang maipasok ang skimmer sa mga database ng website.

Sa mga website na nakabase sa Magento, ang mga iniksyon ng JavaScript ay matatagpuan sa mga talahanayan ng database tulad ng core_config_data. Ang pamamaraang ginamit para sa mga site ng OpenCart ay nananatiling hindi alam sa ngayon. Dahil sa malawakang paggamit nito bilang isang website platform, ang WordPress at ang malawak nitong plugin ecosystem ay naging kapaki-pakinabang na mga target para sa mga malisyosong aktor, na nagbibigay sa kanila ng sapat na pagkakataon para sa mga pag-atake.

Kinakailangan para sa mga may-ari ng website na regular na i-update ang kanilang CMS software at mga plugin, mapanatili ang malakas na kasanayan sa password, at magsagawa ng pana-panahong pag-audit upang matukoy ang anumang mga kahina-hinalang account ng administrator.

Ang mga Biktima ng isang Skimmer ay Maaaring Magtiis ng Malubhang Bunga

Ang mga web skimmer ng credit card, na kilala rin bilang mga pag-atake ng Magecart o digital skimming, ay maaaring magkaroon ng malubhang kahihinatnan para sa parehong mga consumer at negosyo:

• Pagkalugi sa Pinansyal : Kinukuha ng mga skimmer ang mga detalye ng credit card na inilagay sa mga nakompromisong website. Ang impormasyong ito ay gagamitin para sa mga mapanlinlang na transaksyon, na humahantong sa direktang pagkalugi sa pananalapi para sa mga apektadong indibidwal.
• Pagnanakaw ng Pagkakakilanlan : Maaaring gamitin ang na-harvest na impormasyon ng credit card para sa mga layunin ng pagnanakaw ng pagkakakilanlan, kabilang ang pagbubukas ng mga bagong account o paggawa ng hindi awtorisadong pagbili sa pangalan ng biktima.
• Pinsala sa Reputasyon ng Negosyo : Ang mga kumpanyang dumaranas ng skimming attack ay maaaring makaharap sa pinsala sa kanilang reputasyon at pagkawala ng tiwala ng customer. Maaaring iwasan ng mga mamimili ang pamimili sa mga website na nakaranas ng mga paglabag sa seguridad.
• Mga Regulatory Penalty : Depende sa hurisdiksyon, ang mga negosyo ay maaaring pagmultahin at makakuha ng mga parusa para sa hindi pagprotekta sa data ng customer nang sapat. Ang pagsusumite sa mga regulasyon sa proteksyon ng data gaya ng GDPR o CCPA ay maaari ding makompromiso.
• Operational Disruption : Ang pagpapagaan sa mga epekto ng isang skimming attack ay nangangailangan ng makabuluhang mapagkukunan at oras. Maaaring kailanganin ng mga negosyo na pansamantalang isara ang kanilang mga website o serbisyo upang siyasatin at ayusin ang paglabag, na humahantong sa pagkaantala sa pagpapatakbo at epekto sa pananalapi.
• Pangmatagalang Epekto sa Kita : Kahit na matapos ang pagbabawas ng pag-atake ng skimming, maaaring makaranas ang mga negosyo ng pagbawas sa trapiko at benta ng customer bilang resulta ng paglabag. Ang pagpapanumbalik ng kumpiyansa ng customer at muling pagbuo ng isang positibong reputasyon ay maaaring isang pangmatagalang hamon.

Sa buod, ang mga web skimmer ng credit card ay nagdudulot ng malalaking panganib sa parehong mga mamimili at negosyo, na nakakaapekto sa katatagan ng pananalapi, pagiging mapagkakatiwalaan at pagsunod sa regulasyon. Ang mga hakbang sa pag-iwas, tulad ng mga regular na pag-audit sa seguridad, matatag na kasanayan sa pag-encrypt, at agarang pag-update ng software, ay mahalaga upang mabawasan ang mga panganib na ito at maprotektahan laban sa mga hindi ligtas na aktibidad.