Várias plataformas de sistema de gerenciamento de conteúdo (CMS), como WordPress, Magento e OpenCart, foram alvo de um novo skimmer de cartão de crédito chamado Caesar Cipher Skimmer.
Um net skimmer refere-se a malware que é injetado em websites de comércio eletrônico com o objetivo de roubar informações financeiras e de pagamento.
De acordo com a Sucuri, a campanha mais recente envolve fazer modificações maliciosas no arquivo PHP de checkout associado ao plugin WooCommerce para WordPress (“form-checkout.php”) para roubar detalhes de cartão de crédito.
“Nos últimos meses, as injeções foram alteradas para parecerem menos suspeitas do que um longo script ofuscado”, disse o pesquisador de segurança Ben Martin, observando a tentativa do malware de se disfarçar como Google Analytics e Google Tag Supervisor.
Especificamente, ele utiliza o mesmo mecanismo de substituição empregado na cifra de César para codificar o trecho de código malicioso em uma string distorcida e ocultar o domínio externo usado para hospedar a carga útil.
Presume-se que todos os websites foram previamente comprometidos por outros meios para preparar um script PHP conhecido pelos nomes “model.css” e “css.php” em um aparente esforço para imitar uma folha de estilo HTML e evitar a detecção.
Esses scripts, por sua vez, são projetados para carregar outro código JavaScript ofuscado que cria um WebSocket e se conecta a outro servidor para buscar o skimmer actual.
“O script envia a URL das páginas da net atuais, o que permite aos invasores enviar respostas personalizadas para cada web site infectado”, destacou Martin. “Algumas versões do script de segunda camada verificam até mesmo se ele foi carregado por um usuário logado do WordPress e modificam a resposta para eles.”
Algumas versões do script têm explicações legíveis pelo programador (também conhecidas como comentários) escritas em russo, sugerindo que os atores da ameaça por trás da operação falam russo.
O arquivo form-checkout.php no WooCommerce não é o único método usado para implantar o skimmer, pois os invasores também foram flagrados fazendo uso indevido do plugin WPCode legítimo para injetá-lo no banco de dados do web site.
Em websites que usam Magento, as injeções de JavaScript são realizadas em tabelas de banco de dados como core_config_data. Atualmente não se sabe como isso é feito nos websites OpenCart.
Devido ao seu uso predominante como base para websites, o WordPress e o ecossistema maior de plug-ins tornaram-se um alvo lucrativo para atores mal-intencionados, permitindo-lhes acesso fácil a uma vasta superfície de ataque.
É imperativo que os proprietários de websites mantenham seus softwares e plug-ins CMS atualizados, apliquem a higiene de senhas e auditem-nos periodicamente quanto à presença de contas de administrador suspeitas.
