Sucuri 研究人员发现了一种新的电子撇油器,称为 Caesar Cipher Skimmer,最近几周用于针对基于流行 CMS 的电子商店用户,包括 WordPress、Magento 和 OpenCart。
在过去的几周里,专家们注意到“gtag”信用卡略读攻击的一种新变种,检测次数很多,他们称之为“凯撒密码撇油器”。虽然经常看到一个CMS中的恶意软件被回收用于另一个CMS,但值得注意的是,这种新的撇油器同时部署在各种平台上。
最新的活动涉及对 WordPress 的 WooCommerce 插件的结帐 PHP 页面(“form-checkout.php”)进行恶意修改,以窃取信用卡数据。
近几个月来,通过模仿 Google Analytics 和 Google Tag Manager,对注入进行了修改,使其看起来不那么可疑。攻击中使用的脚本通常包括混淆字符串和 String.fromCharCode 的使用,这是威胁参与者隐藏其代码的常见策略。
研究人员注意到,威胁行为者使用凯撒密码的替换机制将恶意软件的一部分编码为字符串,并隐藏托管恶意负载的域。
“恶意软件隐藏其有效载荷所做的是将每个 unicode 字符的值减去 3。因此,它本质上是在unicode值上使用凯撒密码,而不仅仅是字母,“Sucuri发表的帖子中写道。
托管恶意代码的域可能在以前的攻击中遭到破坏,但专家们还观察到攻击者设置的流氓网站的使用。
在过去的几个月里,攻击者注册了一些故意拼写错误(如“gooogle”)的域名,并且在被安全供应商发现时可能会被替换掉。活动中使用的脚本加载另一层混淆的撇渣器 JavaScript,该层创建一个 WebSocket,连接到远程服务器,并等待接收另一层撇渣器。
“该脚本发送当前网页的 URL,允许攻击者为每个受感染的站点发送自定义响应。第二层脚本的某些版本甚至会检查它是否由登录的WordPress用户加载,并为他们修改响应。
研究人员注意到,在旧版本的第二层脚本中,有用俄语写成的评论。
专家们还观察到攻击者滥用插入页眉和页脚WPCode插件将恶意软件插入WooCommerce网站。该插件在攻击者中很受欢迎,用于插入服务器端重定向。在Magento网站上,攻击者经常使用core_config_data数据库表来存储信用卡窃取JavaScript。但是,对于OpenCart来说,目前还没有具体的病例,感染在后端的确切位置仍然未知。
以下是用户可以采取的一些步骤,以保护他们的电子商务网站免受信用卡撇油器的侵害:
-
使您的网站保持最新状态。
-
查看管理员帐户并更新密码。
-
利用文件完整性和网站监控。
-
使用 Web 应用程序防火墙保护您的网站。
原文始发于微信公众号(黑猫安全):新的 CAESAR 密码撇油器针对电子商店使用的流行 CMS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论