Популярные платформы управления контентом (CMS) – такие как WordPress, Magento и OpenCart – стали целью нового веб-скиммeра кредитных карт, известного как “Caesar Cipher Skimmer” (скиммер с шифром Цезаря).
Сами по себе веб-скиммеры представляют из себя вредоносное ПО, которое внедряется в сайты электронной коммерции с целью кражи финансовой и платёжной информации.
Согласно недавнему отчёту компании Sucuri, последняя кампания злоумышленников включает в себя внесение вредоносных изменений в PHP-файл, связанный с плагином WooCommerce для WordPress. Этот файл (“form-checkout.php”) используется хакерами для кражи данных кредитных карт.
“За последние несколько месяцев инъекции стали менее подозрительными и больше не представляют собой длинный обфусцированный скрипт”, – отметил исследователь безопасности Бен Мартин, указывая на попытки маскировки под Google Analytics и Google Tag Manager.
Рассмотренный скиммер был назван таким образом, так как использует для обфускации вредоносного кода шифр Цезаря , который римский полководец Гай Юлий Цезарь использовал для шифрования текстов при переписке со своими военачальниками. Метод подразумевает смещение каждой буквы алфавита на фиксированное число позиций влево или вправо.
В своём веб-скиммере злоумышленник закодировал таким образом вредоносный код в неразборчивую строку текста, а также замаскировал внешний домен, используемый для хранения полезной нагрузки. Предполагается, что все затронутые сайты ранее уже были скомпрометированы другими способами, чтобы разместить PHP-скрипт под именами “style.css” и “css.php”, имитируя HTML-стили и избегая обнаружения.
Эти скрипты предназначены для загрузки другого обфусцированного JavaScript-кода, который создаёт WebSocket и подключается к другому серверу для получения настоящего скиммера.
“Скрипт отправляет URL текущих веб-страниц, что позволяет злоумышленникам отправлять индивидуальные ответы для каждого инфицированного сайта”, – подчеркнул Мартин. “Некоторые версии второго слоя скрипта даже проверяют, загружен ли он пользователем WordPress с правами администратора, и изменяют ответ для него”.
Файл “form-checkout.php” в WooCommerce не является единственным методом развёртывания скиммера. Злоумышленники также были замечены в использовании легитимного плагина WPCode для внедрения его в базу данных сайта. В свою очередь, на сайтах, использующих Magento, инъекции JavaScript выполняются в таблицы базы данных, такие как “core_config_data”. Как заражение происходит на сайтах OpenCart – пока неизвестно.
Благодаря широкому использованию WordPress и большого числа плагинов, эта платформа стала привлекательной целью для злоумышленников, обеспечивая им лёгкий доступ к обширной атакуемой поверхности. Владельцам сайтов крайне важно своевременно обновлять CMS и плагины, следить за безопасностью паролей и периодически проводить аудит на наличие подозрительных учётных записей администраторов.