新型信用卡盗刷软件瞄准 WordPress、Magento 和 OpenCart 网站

新型信用卡盗刷软件 Caesar Cipher Skimmer 瞄准 WordPress、Magento 和 OpenCart 网站，旨在窃取财务和支付信息。

WordPress、Magento 和 OpenCart 等多个内容管理系统 (CMS) 平台已成为一种名为 Caesar Cipher Skimmer 的新型信用卡网络盗刷软件的攻击目标。

网络盗刷是指为了窃取财务和支付信息而将恶意软件注入电子商务网站的行为。

据 Sucuri 称，最新的攻击活动恶意修改了与 WordPress 的 WooCommerce 插件相关的结账流程 PHP 文件（"form-checkout.php"），从而窃取了信用卡信息。

安全研究员 Ben Martin 说："在过去的几个月里，这些注入文件被修改得不再像可疑的长混淆脚本。"他指出，该恶意软件试图伪装成谷歌分析和谷歌标签管理器。

具体来说，恶意软件利用凯撒密码中使用的相同替换机制，将恶意代码编码成乱码字符串，并隐藏用于托管有效载荷的外部域。

据推测，所有网站都曾通过其他手段被入侵过，最终安装了名为 "style.css "和 "css.php "的 PHP 脚本，目的显然是为了模仿 HTML 样式表并逃避检测。

这些脚本反过来被设计用来加载另一个混淆的JavaScript代码，该代码会创建一个WebSocket并连接到另一台服务器，以便获取实际的恶意负载。

Martin 指出：“脚本会发送当前网页的 URL，这样攻击者就可以为每个受感染的网站发送定制的响应。有些版本的第二层脚本甚至会检查是否由登录的 WordPress 用户加载，并为他们修改响应。”

有些版本的脚本还用俄语写了程序员可读的注释，这表明幕后的黑客是讲俄语的。

WooCommerce中的form-checkout.php文件并不是用来部署窃取程序的唯一方法，攻击者还会滥用合法的WPCode插件并将其注入网站数据库。

在使用 Magento 的网站上，JavaScript 注入是在 core_config_data 等数据库表上执行的。目前还不知道 OpenCart 网站是如何做到这一点的。

由于WordPress及其庞大的插件生态系统被广泛用作网站的基础，它们已成为黑客有利可图的攻击目标，让黑客能够轻松访问广阔的攻击面。

网站所有者必须持续更新内容管理系统软件和插件，同时确保密码安全，并定期审查是否存在可疑的管理员账户。

（转载请注明出处@安全威胁纵横，本文来源：https://thehackernews.com/2024/06/new-credit-card-skimmer-targets.html）

原文始发于微信公众号（安全威胁纵横）：新型信用卡盗刷软件瞄准 WordPress、Magento 和 OpenCart 网站