Веб-скиммер Caesar Cipher Skimmer атакует WordPress, Magento и OpenCart
28/06/24
Популярные платформы управления контентом (CMS) — такие как WordPress, Magento и OpenCart — стали целью нового веб-скиммeра кредитных карт, известного как «Caesar Cipher Skimmer» (скиммер с шифром Цезаря).
Сами по себе веб-скиммеры представляют из себя вредоносное ПО, которое внедряется в сайты электронной коммерции с целью кражи финансовой и платёжной информации, пишет Securitylab.
Согласно недавнему отчёту компании Sucuri, последняя кампания злоумышленников включает в себя внесение вредоносных изменений в PHP-файл, связанный с плагином WooCommerce для WordPress. Этот файл («form-checkout.php») используется хакерами для кражи данных кредитных карт.
«За последние несколько месяцев инъекции стали менее подозрительными и больше не представляют собой длинный обфусцированный скрипт», — отметил исследователь безопасности Бен Мартин, указывая на попытки маскировки под Google Analytics и Google Tag Manager.
Рассмотренный скиммер был назван таким образом, так как использует для обфускации вредоносного кода шифр Цезаря, который римский полководец Гай Юлий Цезарь использовал для шифрования текстов при переписке со своими военачальниками. Метод подразумевает смещение каждой буквы алфавита на фиксированное число позиций влево или вправо.
В своём веб-скиммере злоумышленник закодировал таким образом вредоносный код в неразборчивую строку текста, а также замаскировал внешний домен, используемый для хранения полезной нагрузки. Предполагается, что все затронутые сайты ранее уже были скомпрометированы другими способами, чтобы разместить PHP-скрипт под именами «style.css» и «css.php», имитируя HTML-стили и избегая обнаружения.
Эти скрипты предназначены для загрузки другого обфусцированного JavaScript-кода, который создаёт WebSocket и подключается к другому серверу для получения настоящего скиммера.
«Скрипт отправляет URL текущих веб-страниц, что позволяет злоумышленникам отправлять индивидуальные ответы для каждого инфицированного сайта», — подчеркнул Мартин. «Некоторые версии второго слоя скрипта даже проверяют, загружен ли он пользователем WordPress с правами администратора, и изменяют ответ для него».
Файл «form-checkout.php» в WooCommerce не является единственным методом развёртывания скиммера. Злоумышленники также были замечены в использовании легитимного плагина WPCode для внедрения его в базу данных сайта. В свою очередь, на сайтах, использующих Magento, инъекции JavaScript выполняются в таблицы базы данных, такие как «core_config_data». Как заражение происходит на сайтах OpenCart — пока неизвестно.
Благодаря широкому использованию WordPress и аналогов, а также большого числа плагинов, CMS-платформы стали привлекательной целью для злоумышленников, обеспечивая им лёгкий доступ к обширной атакуемой поверхности. Владельцам сайтов крайне важно своевременно обновлять CMS и плагины, следить за безопасностью паролей и периодически проводить аудит на наличие подозрительных учётных записей администраторов.