Διάφορες CMS πλατφόρμες (συστήματα διαχείρισης περιεχομένου), συμπεριλαμβανομένων των WordPress, Magento και OpenCart, έχουν βρεθεί στο στόχαστρο ενός νέου credit card web skimmer, που ονομάζεται Caesar Cipher Skimmer.

Τα credit card web skimmer είναι κακόβουλα λογισμικά που εισάγονται σε ιστότοπους ηλεκτρονικού εμπορίου, με στόχο την κλοπή πιστωτικών καρτών και πληροφοριών πληρωμών.

Σύμφωνα με ερευνητές της Sucuri, η τελευταία καμπάνια περιλαμβάνει τροποποιήσεις στη σελίδα ολοκλήρωσης αγοράς PHP, που σχετίζεται με το WordPress plugin WooCommerce (“form-checkout.php”).

Δείτε επίσης: Android: Νέες επιθέσεις του Medusa banking trojan

Ο ερευνητής Ben Martin είπε ότι τους τελευταίους μήνες, οι επιθέσεις είναι πιο “διακριτικές”, ώστε να μην γίνονται αντιληπτές, ενώ το Caesar Cipher Skimmer υποδύεται τα Google Analytics και Google Tag Manager για να περάσει απαρατήρητο.

Συγκεκριμένα, χρησιμοποιεί τον ίδιο μηχανισμό substitution που χρησιμοποιείται στο Caesar cipher για να κωδικοποιήσει το κακόβουλο κομμάτι κώδικα σε μια μπερδεμένη συμβολοσειρά και να αποκρύψει το εξωτερικό domain που χρησιμοποιείται για να φιλοξενήσει το payload.

Θεωρείται ότι όλοι οι ιστότοποι έχουν παραβιαστεί, με άλλα μέσα, για να χρησιμοποιηθεί ένα PHP script (“style.css” και “css.php”) σε μια προφανή προσπάθεια να μιμηθεί ένα HTML style sheet και να αποφύγει τον εντοπισμό.

Αυτά τα scripts, με τη σειρά τους, φορτώνουν έναν άλλο obfuscated κώδικα JavaScript που δημιουργεί ένα WebSocket και συνδέεται με έναν άλλο διακομιστή για να ανακτήσει το πραγματικό skimmer.

Δείτε επίσης: Google Play: Anatsa banking trojan και κακόβουλες εφαρμογές με εκατ. λήψεις

Μελετώντας κάποιες εκδόσεις του script, οι ερευνητές λένε ότι οι επιτιθέμενοι είναι μάλλον ρωσόφωνοι.

Το αρχείο form-checkout.php στο WooCommerce δεν είναι η μόνη μέθοδος που χρησιμοποιείται για την ανάπτυξη του Caesar Cipher Skimmer, καθώς οι εισβολείς έχουν επίσης εντοπιστεί να κάνουν κατάχρηση του νόμιμου WPCode plugin για να το εισάγουν στη βάση δεδομένων του ιστότοπου.

Σε ιστότοπους που χρησιμοποιούν Magento, τα JavaScript injections εκτελούνται σε database πίνακες, όπως το core_config_data. Προς το παρόν δεν είναι γνωστό πώς επιτυγχάνεται αυτό στους ιστότοπους OpenCart.

Προστασία από credit card skimmers

Οι ιδιοκτήτες καταστημάτων μπορούν να προστατευτούν από νέα credit card skimmers, όπως το Caesar Cipher Skimmer, με την τακτική ενημέρωση του λογισμικού τους. Οι πλατφόρμες όπως το WordPress, το Magento και το OpenCart συχνά κυκλοφορούν ενημερώσεις ασφαλείας που διορθώνουν γνωστά κενά ασφαλείας. Είναι κρίσιμο να εγκαθιστούν αυτές τις ενημερώσεις άμεσα για να μειώσουν την πιθανότητα επίθεσης.

Δείτε επίσης: Το Android banking trojan Antidot εμφανίζεται σαν ενημέρωση του Google Play

Η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για όλους τους λογαριασμούς διαχειριστή και τους λογαριασμούς χρηστών είναι επίσης απαραίτητη. Οι κωδικοί πρόσβασης πρέπει να περιλαμβάνουν έναν συνδυασμό γραμμάτων, αριθμών και ειδικών χαρακτήρων για να είναι πιο δύσκολη η παραβίαση.

Η τακτική παρακολούθηση των αρχείων καταγραφής (logs) του ιστότοπου μπορεί να βοηθήσει στον εντοπισμό ύποπτων δραστηριοτήτων. Οι ιδιοκτήτες καταστημάτων θα πρέπει να ελέγχουν τα logs για ασυνήθιστες ή μη εξουσιοδοτημένες ενέργειες που μπορεί να υποδεικνύουν μια προσπάθεια επίθεσης.

Η εκπαίδευση του προσωπικού σχετικά με τις βέλτιστες πρακτικές ασφαλείας είναι επίσης κρίσιμη. Οι υπάλληλοι θα πρέπει να είναι ενήμεροι για τις απειλές και να γνωρίζουν πώς να αναγνωρίζουν και να αποφεύγουν κακόβουλες ενέργειες, όπως phishing emails.

Τέλος, η τακτική δημιουργία αντιγράφων ασφαλείας (backups) του ιστότοπου και των δεδομένων είναι απαραίτητη. Σε περίπτωση επίθεσης, τα backups μπορούν να βοηθήσουν στην αποκατάσταση του ιστότοπου και στην ελαχιστοποίηση των απωλειών δεδομένων.

Πηγή: thehackernews.com