Caesar Cipher Skimmer

Par Mezo en Malware

Se traduisent par :

Plusieurs systèmes de gestion de contenu (CMS) largement utilisés, tels que Magento, WordPress et OpenCart, ont récemment rencontré un nouveau skimmer Web pour cartes de crédit connu sous le nom de Caesar Cipher Skimmer. Ce malware infiltre les sites de commerce électronique dans le but de collecter secrètement des informations financières et de paiement.

La campagne d'attaque ciblait spécifiquement le plugin WooCommerce pour WordPress, où elle manipulait le fichier PHP « form-checkout.php » pour extraire les informations de carte de crédit. Les chercheurs qui supervisent la situation ont noté que le code injecté a été modifié pour réduire sa visibilité en minimisant l'obscurcissement du script.

Table des matières

Le Caesar Cipher Skimmer peut être déployé sur des sites précédemment compromis

Plus précisément, il utilise le même mécanisme de substitution que celui utilisé dans le chiffrement César pour coder le morceau de code menaçant dans une chaîne tronquée et masquer le domaine externe utilisé pour héberger la charge utile. Il est présumé que tous les sites Web ont déjà été compromis par d'autres moyens pour créer un script PHP portant les noms « style.css » et « css.php » dans le but apparent d'imiter une feuille de style HTML et d'échapper à la détection.

Ces scripts, à leur tour, sont conçus pour charger un autre code JavaScript obscurci qui crée un WebSocket et se connecte à un autre serveur pour récupérer le véritable skimmer.

Le script envoie l'URL des pages Web actuelles, ce qui permet aux attaquants d'envoyer des réponses personnalisées pour chaque site infecté. Certaines versions du script de deuxième couche vérifient même s'il est chargé par un utilisateur WordPress connecté et modifient la réponse pour celui-ci.

Les opérateurs du Caesar Cipher Skimmer sont probablement russes

Certaines versions du script contiennent des commentaires rédigés en russe, indiquant que les acteurs menaçants à l'origine de l'opération pourraient être russophones.

L'attaque ne repose pas uniquement sur la modification du fichier « form-checkout.php » dans WooCommerce ; les attaquants ont également exploité le plugin légitime WPCode pour injecter le skimmer dans les bases de données de sites Web.

Dans les sites Web basés sur Magento, les injections JavaScript se trouvent dans les tables de base de données comme core_config_data. La méthode utilisée pour les sites OpenCart reste inconnue pour le moment. En raison de son adoption généralisée en tant que plate-forme de sites Web, WordPress et son vaste écosystème de plugins sont devenus des cibles lucratives pour les acteurs malveillants, leur offrant de nombreuses opportunités d’attaques.

Il est nécessaire que les propriétaires de sites Web mettent régulièrement à jour leur logiciel CMS et leurs plugins, maintiennent des pratiques strictes en matière de mots de passe et effectuent des audits périodiques pour détecter tout compte d'administrateur suspect.

Les victimes d’un écumeur pourraient subir de graves conséquences

Les skimmers Web de cartes de crédit, également connus sous le nom d'attaques Magecart ou d'écrémage numérique, peuvent avoir de graves conséquences tant pour les consommateurs que pour les entreprises :

Pertes financières : les écumeurs récupèrent les informations de carte de crédit saisies sur des sites Web compromis. Ces informations sont ensuite utilisées pour des transactions frauduleuses, entraînant des pertes financières directes pour les personnes concernées.
Vol d'identité : les informations de carte de crédit collectées peuvent être utilisées à des fins d'usurpation d'identité, notamment pour ouvrir de nouveaux comptes ou effectuer des achats non autorisés au nom de la victime.
Dommages à la réputation de l'entreprise : les entreprises qui subissent une attaque de écrémage peuvent voir leur réputation endommagée et perdre la confiance de leurs clients. Les consommateurs peuvent éviter d’effectuer leurs achats sur des sites Web ayant subi des failles de sécurité.
Sanctions réglementaires : selon la juridiction, les entreprises peuvent être condamnées à une amende et à des pénalités pour ne pas avoir protégé correctement les données de leurs clients. La soumission aux réglementations sur la protection des données telles que le RGPD ou le CCPA peut également être compromise.
Perturbation opérationnelle : atténuer les effets d'une attaque par écrémage nécessite des ressources et du temps importants. Les entreprises peuvent devoir fermer temporairement leurs sites Web ou leurs services pour enquêter et remédier à la violation, ce qui entraînera une perturbation opérationnelle et un impact financier.
Impact à long terme sur les revenus : même après avoir atténué une attaque de skimming, les entreprises peuvent constater une réduction du trafic client et des ventes en raison de la violation. Restaurer la confiance des clients et reconstruire une réputation positive peut constituer un défi à long terme.

En résumé, les esquimeurs Web de cartes de crédit présentent des risques importants tant pour les consommateurs que pour les entreprises, ayant un impact sur la stabilité financière, la fiabilité et la conformité réglementaire. Des mesures préventives, telles que des audits de sécurité réguliers, des pratiques de chiffrement robustes et des mises à jour logicielles rapides, sont essentielles pour atténuer ces risques et se protéger contre de telles activités dangereuses.

Faites la promotion de SpyHunter via ShareASale et obtenez un paiement de 55 %

Rechercher

Changer de région

Caesar Cipher Skimmer

Le Caesar Cipher Skimmer peut être déployé sur des sites précédemment compromis

Les opérateurs du Caesar Cipher Skimmer sont probablement russes

Les victimes d’un écumeur pourraient subir de graves conséquences

Soumettre un Commentaire

Tendance

Ransomware Watz

Lerophogainsub.com

Highcpmgate

Le plus regardé

Discord affiche un écran noir lors du partage d'écran

Comment corriger l'erreur « Le pilote d'imprimante...

Qu'est-ce que Msedge.exe ?