Новый скиммер кредитных карт атакует сайты на WordPress, Magento и OpenCart

На популярные платформы для управления контентом, такие как WordPress, Magento и OpenCart, направлен новый вредоносный код, крадущий данные кредитных карт, называемый Caesar Cipher Skimmer.

Вредоносное ПО, внедрённое в интернет-магазины, крадёт финансовую и платёжную информацию. В данном случае злоумышленники модифицируют страницу оформления заказа в плагине WooCommerce для WordPress, чтобы украсть данные кредитных карт.

Исследователь безопасности Бен Мартин сообщил, что за последние месяцы внедрения стали менее заметными и маскируются под Google Analytics и Google Tag Manager. Вредоносный код зашифрован с помощью метода шифра Цезаря, чтобы скрыть домен, где хранится вредоносный код.

Сайты, вероятно, были ранее взломаны другими способами, чтобы разместить скрипты, похожие на стили CSS, что помогает избежать обнаружения. Эти скрипты загружают другой зашифрованный JavaScript, который создаёт WebSocket-соединение и подключается к серверу для получения данных.

Скрипт отправляет URL текущих страниц, что позволяет атакующим отправлять индивидуальные ответы для каждого заражённого сайта. Некоторые версии скрипта проверяют, загружен ли он пользователем, вошедшим в систему WordPress, и меняют ответ для него.

Помимо WooCommerce, злоумышленники также используют плагин WPCode для внедрения кода в базу данных сайтов. На сайтах Magento скрипты внедряются в таблицы базы данных, например, core_config_data. Как это происходит на сайтах OpenCart, пока неизвестно.

Чтобы защититься от этой угрозы, владельцам сайтов необходимо регулярно обновлять своё ПО и плагины, использовать сложные пароли и периодически проверять систему на наличие подозрительных администраторских аккаунтов.