Caesar Cipher Skimmer

一些广泛使用的内容管理系统 (CMS)，例如 Magento、WordPress 和 OpenCart，最近遭遇了一种新型信用卡网络窃取器，即 Caesar Cipher Skimmer。这种恶意软件会渗透到电子商务网站，意图秘密收集财务和付款详细信息。

此次攻击活动专门针对 WordPress 的 WooCommerce 插件，它操纵“form-checkout.php”PHP 文件来提取信用卡信息。监督该情况的研究人员注意到，注入的代码已被修改，通过最小化脚本的混淆来降低其可见性。

凯撒密码窃取器可能被部署到之前被入侵的站点

具体来说，它利用与凯撒密码相同的替换机制，将威胁性代码编码为乱码字符串，并隐藏用于托管有效负载的外部域。据推测，所有网站都曾通过其他方式被入侵，以部署名为“style.css”和“css.php”的 PHP 脚本，显然是为了模仿 HTML 样式表并逃避检测。

反过来，这些脚本被设计用于加载另一个混淆的 JavaScript 代码，该代码会创建一个 WebSocket 并连接到另一台服务器以获取实际的 skimmer。

该脚本会发送当前网页的 URL，这允许攻击者为每个受感染的网站发送定制的响应。第二层脚本的某些版本甚至会检查它是否由登录的 WordPress 用户加载，并修改他们的响应。

凯撒密码窃取器的操作员可能是俄罗斯人

脚本的某些版本包含用俄语书写的注释，表明该行动背后的威胁行为者可能讲俄语。

此次攻击不仅仅依赖于修改 WooCommerce 中的“form-checkout.php”文件；攻击者还利用合法的 WPCode 插件将 skimmer 注入网站数据库。

在基于 Magento 的网站中，JavaScript 注入存在于 core_config_data 等数据库表中。目前尚不清楚 OpenCart 网站使用的方法。由于 WordPress 被广泛采用为网站平台，其广泛的插件生态系统已成为恶意行为者的有利可图的目标，为他们提供了充足的攻击机会。

网站所有者有必要定期更新其 CMS 软件和插件、维护强密码实践并进行定期审核以检测任何可疑的管理员帐户。

盗油机的受害者可能会遭受严重后果

信用卡网络盗刷器（也称为 Magecart 攻击或数字盗刷）可能对消费者和企业造成严重后果：

• 经济损失：盗取者会窃取被入侵网站上输入的信用卡信息。这些信息随后被用于欺诈交易，导致受影响的个人直接遭受经济损失。
• 身份盗窃：收集的信用卡信息可用于身份盗窃目的，包括开设新账户或以受害者的名义进行未经授权的购买。
• 损害企业声誉：遭受盗刷攻击的公司可能会面临声誉受损和客户信任丧失的风险。消费者可能会避免在存在安全漏洞的网站上购物。
• 监管处罚：根据司法管辖区的不同，企业可能会因未能充分保护客户数据而被罚款和处罚。遵守 GDPR 或 CCPA 等数据保护法规也可能会受到影响。
• 运营中断：减轻数据窃取攻击的影响需要投入大量资源和时间。企业可能需要暂时关闭其网站或服务以调查和补救违规行为，从而导致运营中断和财务影响。
• 对收入的长期影响：即使缓解了盗刷攻击，企业仍可能因违规而遭遇客户流量和销售额的下降。恢复客户信心和重建良好声誉可能是一项长期挑战。

总之，信用卡网络盗刷器对消费者和企业都构成重大风险，影响金融稳定、可信度和监管合规性。定期安全审计、强大的加密实践和及时的软件更新等预防措施对于减轻这些风险和防止此类不安全活动至关重要。