Caesar Cipher Skimmer

一些廣泛使用的內容管理系統 (CMS)，例如 Magento、WordPress 和 OpenCart，最近遇到了一種新穎的信用卡網路竊取器，稱為凱撒密碼竊取器。該惡意軟體滲透電子商務網站，目的是秘密收集財務和支付詳細資訊。

該攻擊活動專門針對 WordPress 的 WooCommerce 插件，它操縱「form-checkout.php」PHP 檔案來提取信用卡資訊。負責監督此情況的研究人員注意到，注入的程式碼已被更改，透過最大限度地減少腳本的混淆來降低其可見性。

凱撒密碼竊取器可能會部署到以前受感染的站點

具體來說，它利用凱撒密碼中使用的相同替換機制將威脅代碼片段編碼為亂碼字串，並隱藏用於託管有效負載的外部域。據推測，所有網站之前都已透過其他方式受到損害，以編寫名為“style.css”和“css.php”的 PHP 腳本，顯然是為了模仿 HTML 樣式表並逃避檢測。

反過來，這些腳本旨在載入另一個混淆的 JavaScript 程式碼，該程式碼會建立 WebSocket 並連接到另一個伺服器以獲取實際的 skimmer。

該腳本發送當前網頁的 URL，這允許攻擊者為每個受感染的網站發送自訂回應。第二層腳本的某些版本甚至會檢查它是否由登入的 WordPress 使用者載入並修改他們的回應。

凱撒密碼竊取器的操作員很可能是俄羅斯人

該腳本的某些版本包含用俄語編寫的註釋，表明該行動背後的威脅行為者可能會講俄語。

該攻擊不僅僅依賴修改 WooCommerce 中的“form-checkout.php”文件；攻擊者還利用合法的 WPCode 外掛程式將竊取器注入網站資料庫。

在基於 Magento 的網站中，JavaScript 注入可以在 core_config_data 等資料庫表中找到。 OpenCart 網站所使用的方法目前仍未知。由於其作為網站平台的廣泛採用，WordPress 及其廣泛的插件生態系統已成為惡意行為者有利可圖的目標，為他們提供了充足的攻擊機會。

網站所有者有必要定期更新其 CMS 軟體和外掛程式、維護強密碼實踐並定期進行審核以檢測任何可疑的管理員帳戶。

撇渣器的受害者可能會承受嚴重後果

信用卡網路竊取程式（也稱為 Magecart 攻擊或數位竊取程式）可能會對消費者和企業造成嚴重後果：

• 經濟損失：竊取者取得在受感染網站上輸入的信用卡詳細資料。這些資訊隨後被用於欺詐性交易，給受影響的個人帶來直接的經濟損失。
• 身分盜竊：收集的信用卡資訊可用於身分盜竊目的，包括開設新帳戶或以受害者的名義進行未經授權的購買。
• 商業聲譽受損：遭受竊取攻擊的公司可能會面臨聲譽受損和客戶信任喪失的情況。消費者可能會避免在出現安全漏洞的網站上購物。
• 監管處罰：根據司法管轄區的不同，企業可能會被罰款，並因未能充分保護客戶資料而受到處罰。遵守 GDPR 或 CCPA 等資料保護法規也可能受到影響。
• 操作中斷：減輕竊取攻擊的影響需要大量資源和時間。企業可能需要暫時關閉其網站或服務來調查和補救違規行為，從而導致營運中斷和財務影響。
• 對收入的長期影響：即使在緩解了竊取攻擊之後，企業也可能會因違規行為而遇到客戶流量和銷售額減少的情況。恢復客戶信心並重建正面聲譽可能是一項長期挑戰。

總之，信用卡網路盜刷器為消費者和企業帶來了重大風險，影響了金融穩定性、可信度和監管合規性。定期安全審核、強大的加密實踐和及時軟體更新等預防措施對於減輕這些風險並防止此類不安全活動至關重要。