Nowy Caesar Cipher Skimmer atakuje systemy zarządzania treścią (CMS)
Nowa forma skimmingu internetowego o nazwie Caesar Cipher Skimmer atakuje platformy systemów zarządzania treścią (CMS), takie jak WordPress, Magento i OpenCart.
Skimming internetowy to złośliwe oprogramowanie, które jest wstrzykiwane do sklepów internetowych w celu kradzieży danych finansowych i płatniczych.
Według firmy Sucuri, nowa kampania polega na wprowadzaniu szkodliwych modyfikacji do strony PHP związanej z wtyczką WooCommerce dla WordPressa („form-checkout.php”), w celu kradzieży danych z kart kredytowych.
Ben Martin, badacz zabezpieczeń, zauważył, że w ciągu ostatnich miesięcy złośliwe wstrzykiwania zostały zmienione, aby wyglądać mniej podejrzanie niż długi zaszyfrowany skrypt. Malware próbuje udawać Google Analytics i Google Tag Manager.
Właśnie porusza się mechanizmem substytucji używanym w szyfrze Cezara, aby zakodować złośliwy kod w poplątanym ciągu znaków i ukryć zewnętrzną domenę, która służy do hostowania ładowanego oprogramowania.
Prawdopodobnie wszystkie witryny były wcześniej naruszone za pomocą innych środków, aby przeprowadzić skrypt PHP o nazwach „style.css” i „css.php”. Ma to na celu udawanie arkusza stylów HTML i uniknięcie wykrycia.
Te skrypty mają na celu załadowanie kolejnego zaszyfrowanego kodu JavaScript, który tworzy WebSocket i łączy się z innym serwerem, aby pobrać rzeczywisty skimming.
„Skrypt wysyła adres URL bieżących stron internetowych, co pozwala atakującym wysyłać dostosowane odpowiedzi dla każdej zainfekowanej witryny” – wskazał Martin. „Niektóre wersje drugiego skryptu warstwowego nawet sprawdzają, czy jest ładowany przez zalogowanego użytkownika WordPress i modyfikują odpowiedź dla niego”.
Niektóre wersje skryptu zawierają komentarze pisane po rosyjsku, co wskazuje, że osoby odpowiedzialne za działanie mogą posługiwać się językiem rosyjskim.
Plik form-checkout.php w WooCommerce to nie jedyna metoda stosowana do wprowadzania skimmera. Atakujący zostali również zauważeni podczas wykorzystywania legalnej wtyczki WPCode do wstrzykiwania skryptu do bazy danych witryny.
Na witrynach korzystających z platformy Magento, wstrzykiwane są skrypty JavaScript do tabel bazy danych, takich jak core_config_data. Obecnie nie wiadomo, w jaki sposób to jest realizowane w przypadku witryn opartych na OpenCart.
Ze względu na powszechne stosowanie WordPressa jako podstawy dla witryn internetowych, stał się on atrakcyjnym celem dla złośliwych użytkowników, dając im łatwy dostęp do dużej powierzchni ataku.
Dlatego niezbędne jest, aby właściciele witryn regularnie aktualizowali oprogramowanie CMS i wtyczki, dbali o bezpieczeństwo haseł oraz okresowo przeprowadzali audyty w celu wykrycia podejrzanych kont administratorów.