Caesar Cipher Skimmer

Magento, WordPress ve OpenCart gibi yaygın olarak kullanılan birçok İçerik Yönetim Sistemi (CMS), yakın zamanda Caesar Cipher Skimmer olarak bilinen yeni bir kredi kartı Web skimmer'ıyla karşılaştı. Bu kötü amaçlı yazılım, finansal ve ödeme ayrıntılarını gizlice toplamak amacıyla e-ticaret web sitelerine sızıyor.

Saldırı kampanyası, kredi kartı bilgilerini çıkarmak için 'form-checkout.php' PHP dosyasını değiştirdiği WordPress için WooCommerce eklentisini özellikle hedef aldı. Durumu denetleyen araştırmacılar, enjekte edilen kodun, betiğin karartılmasını en aza indirerek görünürlüğünü azaltacak şekilde değiştirildiğini belirtti.

Caesar Şifre Skimmer’ı Daha Önce Güvenliği Tehlikeye Giren Sitelere Yerleştirilebilir

Spesifik olarak, tehditkar kod parçasını bozuk bir dizi halinde kodlamak ve yükü barındırmak için kullanılan harici alanı gizlemek için Caesar şifresinde kullanılan aynı ikame mekanizmasını kullanır. Tüm web sitelerinin, bir HTML stil sayfasını taklit etmek ve tespit edilmekten kaçınmak amacıyla 'style.css' ve 'css.php' adlarını kullanan bir PHP betiği oluşturmak için daha önce başka yollarla ele geçirildiği varsayılmaktadır.

Bu komut dosyaları, bir WebSocket oluşturan ve gerçek skimmer'ı almak için başka bir sunucuya bağlanan başka bir karmaşık JavaScript kodunu yüklemek üzere tasarlanmıştır.

Komut dosyası, mevcut web sayfalarının URL'sini göndererek, saldırganların virüslü her site için özelleştirilmiş yanıtlar göndermesine olanak tanır. İkinci katman komut dosyasının bazı sürümleri, oturum açmış bir WordPress kullanıcısı tarafından yüklenip yüklenmediğini bile kontrol eder ve onlara verilen yanıtı değiştirir.

Caesar Cipher Skimmer’ın Operatörleri Muhtemelen Rus

Senaryonun bazı versiyonlarında, operasyonun arkasındaki tehdit aktörlerinin Rusça konuşabileceğini belirten Rusça yazılmış yorumlar yer alıyor.

Saldırı yalnızca WooCommerce'deki 'form-checkout.php' dosyasının değiştirilmesine dayanmıyor; Saldırganlar ayrıca skimmer'ı web sitesi veritabanlarına enjekte etmek için meşru WPCode eklentisinden de yararlandı.

Magento tabanlı web sitelerinde, JavaScript enjeksiyonları core_config_data gibi veritabanı tablolarında bulunur. OpenCart siteleri için kullanılan yöntem şu anda bilinmiyor. Bir web sitesi platformu olarak yaygın şekilde benimsenmesi nedeniyle, WordPress ve kapsamlı eklenti ekosistemi, kötü niyetli aktörler için kazançlı hedefler haline geldi ve onlara saldırılar için bol miktarda fırsat sağladı.

Web sitesi sahiplerinin CMS yazılımlarını ve eklentilerini düzenli olarak güncellemeleri, güçlü şifre uygulamalarını sürdürmeleri ve şüpheli yönetici hesaplarını tespit etmek için periyodik denetimler yapmaları gerekir.

Skimmer Kurbanları Ciddi Sonuçlara Dayanabilir

Magecart saldırıları veya dijital tarama olarak da bilinen kredi kartı Web tarama programları, hem tüketiciler hem de işletmeler için ciddi sonuçlar doğurabilir:

• Finansal Kayıplar : Skimmer'lar, ele geçirilen web sitelerine girilen kredi kartı ayrıntılarını toplar. Bu bilgiler daha sonra dolandırıcılık amaçlı işlemler için kullanılıyor ve bu da etkilenen bireyler için doğrudan mali kayıplara yol açıyor.
• Kimlik Hırsızlığı : Toplanan kredi kartı bilgileri, kurban adına yeni hesap açmak veya yetkisiz satın alma işlemleri yapmak da dahil olmak üzere kimlik hırsızlığı amacıyla kullanılabilir.
• Ticari İtibarın Zarar Görmesi : Kayma saldırısına maruz kalan şirketler, itibarlarına zarar verebilir ve müşteri güvenini kaybedebilir. Tüketiciler güvenlik ihlali yaşanan sitelerden alışveriş yapmaktan kaçınabiliyor.
• Düzenleyici Cezalar : Yargı yetkisine bağlı olarak işletmeler para cezasına çarptırılabilir ve müşteri verilerini yeterince korumadıkları için ceza alabilirler. GDPR veya CCPA gibi veri koruma düzenlemelerine uygunluk da tehlikeye girebilir.
• Operasyonel Kesinti : Kayma saldırısının etkilerini azaltmak önemli miktarda kaynak ve zaman gerektirir. İşletmelerin ihlali araştırmak ve düzeltmek için web sitelerini veya hizmetlerini geçici olarak kapatması gerekebilir, bu da operasyonel kesintiye ve mali etkiye yol açabilir.
• Gelirler Üzerindeki Uzun Vadeli Etki : Bir kaymağını alma saldırısını hafiflettikten sonra bile, ihlalin bir sonucu olarak işletmeler müşteri trafiğinde ve satışlarda düşüş yaşayabilir. Müşteri güvenini yeniden tesis etmek ve olumlu bir itibarı yeniden inşa etmek uzun vadeli bir zorluk olabilir.

Özetle, kredi kartı Web skimmer'ları hem tüketiciler hem de işletmeler için finansal istikrarı, güvenilirliği ve mevzuat uyumluluğunu etkileyen önemli riskler oluşturmaktadır. Düzenli güvenlik denetimleri, güçlü şifreleme uygulamaları ve hızlı yazılım güncellemeleri gibi önleyici tedbirler, bu riskleri azaltmak ve bu tür güvenli olmayan faaliyetlere karşı koruma sağlamak için çok önemlidir.