Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Веб-скиммер Caesar Cipher Skimmer атакует WordPress, Magento и OpenCart

28/06/24

GettyImages-1181822068

Популярные платформы управления контентом (CMS) — такие как WordPress, Magento и OpenCart — стали целью нового веб-скиммeра кредитных карт, известного как «Caesar Cipher Skimmer» (скиммер с шифром Цезаря).

Сами по себе веб-скиммеры представляют из себя вредоносное ПО, которое внедряется в сайты электронной коммерции с целью кражи финансовой и платёжной информации, пишет Securitylab.

Согласно недавнему отчёту компании Sucuri, последняя кампания злоумышленников включает в себя внесение вредоносных изменений в PHP-файл, связанный с плагином WooCommerce для WordPress. Этот файл («form-checkout.php») используется хакерами для кражи данных кредитных карт.

«За последние несколько месяцев инъекции стали менее подозрительными и больше не представляют собой длинный обфусцированный скрипт», — отметил исследователь безопасности Бен Мартин, указывая на попытки маскировки под Google Analytics и Google Tag Manager.

Рассмотренный скиммер был назван таким образом, так как использует для обфускации вредоносного кода шифр Цезаря, который римский полководец Гай Юлий Цезарь использовал для шифрования текстов при переписке со своими военачальниками. Метод подразумевает смещение каждой буквы алфавита на фиксированное число позиций влево или вправо.

В своём веб-скиммере злоумышленник закодировал таким образом вредоносный код в неразборчивую строку текста, а также замаскировал внешний домен, используемый для хранения полезной нагрузки. Предполагается, что все затронутые сайты ранее уже были скомпрометированы другими способами, чтобы разместить PHP-скрипт под именами «style.css» и «css.php», имитируя HTML-стили и избегая обнаружения.

Эти скрипты предназначены для загрузки другого обфусцированного JavaScript-кода, который создаёт WebSocket и подключается к другому серверу для получения настоящего скиммера.

«Скрипт отправляет URL текущих веб-страниц, что позволяет злоумышленникам отправлять индивидуальные ответы для каждого инфицированного сайта», — подчеркнул Мартин. «Некоторые версии второго слоя скрипта даже проверяют, загружен ли он пользователем WordPress с правами администратора, и изменяют ответ для него».

Файл «form-checkout.php» в WooCommerce не является единственным методом развёртывания скиммера. Злоумышленники также были замечены в использовании легитимного плагина WPCode для внедрения его в базу данных сайта. В свою очередь, на сайтах, использующих Magento, инъекции JavaScript выполняются в таблицы базы данных, такие как «core_config_data». Как заражение происходит на сайтах OpenCart — пока неизвестно.

Благодаря широкому использованию WordPress и аналогов, а также большого числа плагинов, CMS-платформы стали привлекательной целью для злоумышленников, обеспечивая им лёгкий доступ к обширной атакуемой поверхности. Владельцам сайтов крайне важно своевременно обновлять CMS и плагины, следить за безопасностью паролей и периодически проводить аудит на наличие подозрительных учётных записей администраторов.

Темы:WordPressУгрозыкредитные картыSucuriскиммеры
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...