Mehrere Content-Management-Systeme (CMS) wie WordPress, Magento und OpenCart sind das Ziel eines neuen Kreditkartenskimmers namens Caesar Cipher Skimmer geworden.
Ein Web-Skimmer ist eine Malware, die in E-Commerce-Websites injiziert wird, um finanzielle und Zahlungsinformationen zu stehlen.
Angriff auf WordPress, Magento und OpenCart
Laut Sucuri beinhaltet die neueste Kampagne bösartige Änderungen an der PHP-Checkout-Seite, die mit dem WooCommerce-Plugin für WordPress verbunden ist („form-checkout.php“), um Kreditkartendaten zu stehlen.
„In den letzten Monaten wurden die Injektionen so verändert, dass sie weniger verdächtig wirken als ein langes, verschleiertes Skript“, erklärte Sicherheitsforscher Ben Martin und wies darauf hin, dass die Malware versucht, sich als Google Analytics und Google Tag Manager auszugeben.
Verschleierung der Malware
Konkret verwendet die Malware den gleichen Substitutionsmechanismus wie die Caesar-Verschlüsselung, um den bösartigen Code in einen unleserlichen String zu kodieren und die externe Domain zu verbergen, die die Nutzlast hostet.
Es wird angenommen, dass alle betroffenen Websites zuvor durch andere Methoden kompromittiert wurden, um ein PHP-Skript mit den Namen „style.css“ und „css.php“ zu platzieren, um sich als HTML-Stylesheet auszugeben und einer Entdeckung zu entgehen.
Diese Skripte laden dann ein weiteres verschleiertes JavaScript, das eine WebSocket-Verbindung zu einem anderen Server herstellt, um den eigentlichen Skimmer abzurufen.
Funktionsweise des Skimmers
„Das Skript sendet die URL der aktuellen Webseiten, wodurch die Angreifer angepasste Antworten für jede infizierte Seite senden können“, erläuterte Martin. „Einige Versionen des zweiten Ebenen-Skripts prüfen sogar, ob es von einem angemeldeten WordPress-Benutzer geladen wird und passen die Antwort entsprechend an.“
Einige Versionen des Skripts enthalten programmierbare Erklärungen (auch Kommentare genannt) auf Russisch, was darauf hindeutet, dass die Bedrohungsakteure hinter der Operation russischsprachig sind.
Weitere Verbreitungsmethoden
Die form-checkout.php-Datei in WooCommerce ist nicht die einzige Methode, die von den Angreifern verwendet wird, um den Skimmer zu deployen. Sie wurden auch dabei beobachtet, das legitime WPCode-Plugin zu missbrauchen, um ihn in die Website-Datenbank zu injizieren.
Auf Magento-Websites werden die JavaScript-Injektionen in Datenbanktabellen wie core_config_data durchgeführt. Es ist derzeit nicht bekannt, wie dies auf OpenCart-Websites erreicht wird.
Maßnahmen für Website-Betreiber
Aufgrund der weit verbreiteten Nutzung von WordPress und des umfangreichen Plugin-Ökosystems ist es ein lukratives Ziel für bösartige Akteure, da sie so einfachen Zugang zu einer großen Angriffsfläche erhalten.
Es ist zwingend erforderlich, dass Website-Betreiber ihre CMS-Software und Plugins auf dem neuesten Stand halten, gute Passworthygiene einhalten und ihre Systeme regelmäßig auf verdächtige Administratoren-Konten überprüfen.
Bleiben Sie wachsam und schützen Sie Ihre Websites vor diesen neuen Bedrohungen.
4o