Várias plataformas de sistema de gerenciamento de conteúdo (CMS), como WordPress, Magento e OpenCart, foram alvo de um novo skimmer de cartão de crédito chamado Caesar Cipher Skimmer.
Um web skimmer é um malware que é injetado em sites de e-commerce com o objetivo de roubar informações financeiras e de pagamento.
De acordo com a Sucuri, a campanha mais recente envolve modificações maliciosas na página de checkout PHP associada ao plugin WooCommerce para WordPress ("form-checkout.php") para roubar detalhes de cartão de crédito.
"Nos últimos meses, as injeções foram alteradas para parecerem menos suspeitas do que um script longo e ofuscado", disse o pesquisador de segurança Ben Martin, observando a tentativa do malware de se passar por Google Analytics e Google Tag Manager.
Especificamente, ele emprega o mesmo mecanismo de substituição usado na cifra de César para codificar a peça maliciosa de código em uma string embaralhada e ocultar o domínio externo que é usado para hospedar o payload.
Presume-se que todos os websites foram previamente comprometidos por outros meios para instalar um script PHP que leva os nomes "style.css" e "css.php", numa aparente tentativa de imitar uma folha de estilo HTML e evitar detecção.
Esses scripts, por sua vez, são projetados para carregar outro código JavaScript ofuscado que cria um WebSocket e se conecta a outro servidor para buscar o skimmer real.
"O script envia a URL das páginas web atuais, o que permite aos atacantes enviar respostas personalizadas para cada site infectado", Martin apontou.
Algumas versões do segundo script de camada até verificam se são carregadas por um usuário logado no WordPress e modificam a resposta para eles. Algumas versões do script possuem explicações legíveis por programadores (também conhecidas como comentários) escritas em russo, sugerindo que os agentes de ameaça por trás da operação são falantes de russo.
O arquivo form-checkout.php no WooCommerce não é o único método usado para implementar o skimmer, pois os atacantes também foram vistos abusando do plugin WPCode legitimo para injetá-lo no banco de dados do site.
Em sites que usam Magento, as injeções de JavaScript são realizadas em tabelas de banco de dados como core_config_data.
Atualmente, não se sabe como isso é realizado em sites OpenCart.
Devido ao seu uso prevalente como base para sites, o WordPress e o ecossistema maior de plugins tornaram-se um alvo lucrativo para atores maliciosos, permitindo-lhes fácil acesso a uma vasta superfície de ataque.
É imperativo que os proprietários de sites mantenham seu software CMS e plugins atualizados, apliquem higiene de senha e os auditem periodicamente pela presença de contas administrativas suspeitas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...