Meerdere contentmanagementsystemen (CMS)-platforms zoals WordPress, Magento en OpenCart zijn het doelwit van een nieuwe creditcard-webskimmer genaamd Caesar Cipher Skimmer.
Een webskimmer verwijst naar malware die in e-commercesites wordt geïnjecteerd met als doel financiële en betalingsinformatie te stelen.
Volgens Sucuri omvat de nieuwste campagne het aanbrengen van kwaadaardige wijzigingen in het PHP-bestand voor het afrekenen dat is gekoppeld aan de WooCommerce-plug-in voor WordPress (“form-checkout.php”) om creditcardgegevens te stelen.
“De afgelopen maanden zijn de injecties veranderd om er minder verdacht uit te zien dan een lang versluierd script”, zei beveiligingsonderzoeker Ben Martin, waarbij hij de poging van de malware opmerkte om zich voor te doen als Google Analytics en Google Tag Manager.
Concreet maakt het gebruik van hetzelfde vervangingsmechanisme dat wordt gebruikt in Caesar-codering om het kwaadaardige stukje code in een onleesbare reeks te coderen en het externe domein te verbergen dat wordt gebruikt om de payload te hosten.
Er wordt aangenomen dat alle websites eerder op andere manieren zijn gecompromitteerd door een PHP-script met de namen “style.css” en “css.php” te maken in een schijnbare poging om een HTML-stylesheet na te bootsen en detectie te omzeilen.
Deze scripts zijn op hun beurt ontworpen om nog een versluierde JavaScript-code te laden die een WebSocket creëert en verbinding maakt met een andere server om de daadwerkelijke skimmer op te halen.
“Het script verzendt de URL van de huidige webpagina’s, waardoor de aanvallers aangepaste antwoorden kunnen sturen voor elke geïnfecteerde site”, legt Martin uit. “Sommige versies van het tweedelaagsscript controleren zelfs of het wordt geladen door een ingelogde WordPress-gebruiker en passen het antwoord voor hen aan.”
Sommige versies van het script bevatten uitleg (ook wel commentaren genoemd) die voor programmeurs leesbaar zijn en in het Russisch zijn geschreven. Dit suggereert dat de dreigingsactoren achter de operatie Russischtalig zijn.
Het form-checkout.php-bestand in WooCommerce is niet de enige methode die wordt gebruikt om de skimmer te implementeren. Er is namelijk ook vastgesteld dat aanvallers de legitieme WPCode-plug-in misbruiken om deze in de websitedatabase te injecteren.
Op websites die Magento gebruiken, worden de JavaScript-injecties uitgevoerd op databasetabellen zoals core_config_data. Het is momenteel niet bekend hoe dit wordt bereikt op OpenCart-sites.
Vanwege het wijdverbreide gebruik als basis voor websites zijn WordPress en het grotere plug-in-ecosysteem een lucratief doelwit geworden voor kwaadwillende actoren, waardoor ze gemakkelijk toegang hebben tot een enorm aanvalsoppervlak.
Het is absoluut noodzakelijk dat site-eigenaren hun CMS-software en plug-ins up-to-date houden, wachtwoordhygiëne afdwingen en deze periodiek controleren op de aanwezigheid van verdachte beheerdersaccounts.