Caesar Cipher Skimmer

Кілька широко використовуваних систем керування вмістом (CMS), таких як Magento, WordPress і OpenCart, нещодавно зіткнулися з новим веб-скімером кредитних карток, відомим як Caesar Cipher Skimmer. Це зловмисне програмне забезпечення проникає на веб-сайти електронної комерції з метою таємного збору фінансових і платіжних даних.

Кампанія атаки спеціально була спрямована на плагін WooCommerce для WordPress, де він маніпулював PHP-файлом form-checkout.php для отримання інформації про кредитну картку. Дослідники, які спостерігають за ситуацією, помітили, що введений код було змінено, щоб зменшити його видимість шляхом мінімізації обфускації сценарію.

Caesar Cipher Skimmer може бути розгорнуто на раніше зламаних сайтах

Зокрема, він використовує той самий механізм підміни, який використовується в шифрі Цезаря, щоб закодувати загрозливий фрагмент коду в спотворений рядок і приховати зовнішній домен, який використовується для розміщення корисного навантаження. Передбачається, що всі веб-сайти були раніше скомпрометовані за допомогою інших засобів для створення сценарію PHP під іменами «style.css» і «css.php» з очевидною спробою імітувати таблицю стилів HTML і уникнути виявлення.

Ці сценарії, у свою чергу, призначені для завантаження іншого обфускованого коду JavaScript, який створює WebSocket і підключається до іншого сервера для отримання фактичного скімера.

Сценарій надсилає URL-адреси поточних веб-сторінок, що дозволяє зловмисникам надсилати індивідуальні відповіді для кожного зараженого сайту. Деякі версії сценарію другого рівня навіть перевіряють, чи завантажено його користувачем WordPress, який увійшов у систему, і змінюють відповідь для нього.

Оператори Caesar Cipher Skimmer, ймовірно, росіяни

Деякі версії сценарію містять коментарі, написані російською мовою, які вказують на те, що учасники операції можуть бути російськомовними.

Атака покладається не лише на зміну файлу form-checkout.php у WooCommerce; зловмисники також використовували легітимний плагін WPCode для введення скімера в бази даних веб-сайтів.

На веб-сайтах на базі Magento ін’єкції JavaScript можна знайти в таблицях бази даних, наприклад core_config_data. Метод, який використовується для сайтів OpenCart, наразі залишається невідомим. Завдяки широкому застосуванню як платформи для веб-сайтів, WordPress і його розгалужена екосистема плагінів стали прибутковими цілями для зловмисників, надаючи їм широкі можливості для атак.

Власникам веб-сайтів необхідно регулярно оновлювати програмне забезпечення та плагіни CMS, підтримувати надійні паролі та проводити періодичні перевірки для виявлення будь-яких підозрілих облікових записів адміністратора.

Жертви скімера можуть зазнати серйозних наслідків

Веб-скімери кредитних карток, також відомі як атаки Magecart або цифрові скімінги, можуть мати серйозні наслідки як для споживачів, так і для компаній:

• Фінансові втрати : скімери збирають дані кредитної картки, введені на зламаних веб-сайтах. Ця інформація потім використовується для шахрайських операцій, що призводить до прямих фінансових втрат для постраждалих осіб.
• Крадіжка особистих даних . Зібрану інформацію кредитної картки можна використовувати для крадіжки особистих даних, зокрема для відкриття нових облікових записів або здійснення несанкціонованих покупок від імені жертви.
• Шкода діловій репутації : Компанії, які зазнали скімінгової атаки, можуть зазнати шкоди своїй репутації та втрати довіри клієнтів. Споживачі можуть уникати покупок на веб-сайтах, які зазнали порушень безпеки.
• Регуляторні санкції : залежно від юрисдикції компанії можуть бути оштрафовані та отримати штрафи за нездатність належним чином захистити дані клієнтів. Також може бути порушено дотримання правил захисту даних, таких як GDPR або CCPA.
• Порушення роботи : пом’якшення наслідків шкірної атаки вимагає значних ресурсів і часу. Підприємствам може знадобитися тимчасово закрити свої веб-сайти чи служби, щоб розслідувати та усунути порушення, що призведе до збоїв у роботі та фінансових наслідків.
• Довгостроковий вплив на дохід : навіть після пом’якшення шкірної атаки компанії можуть відчути зниження клієнтського трафіку та продажів у результаті злому. Відновити довіру клієнтів і відновити позитивну репутацію може бути довгостроковим викликом.

Підсумовуючи, веб-скімери кредитних карток створюють значні ризики як для споживачів, так і для компаній, впливаючи на фінансову стабільність, надійність і дотримання нормативних вимог. Профілактичні заходи, такі як регулярні перевірки безпеки, надійні методи шифрування та оперативні оновлення програмного забезпечення, є важливими для пом’якшення цих ризиків і захисту від таких небезпечних дій.