Múltiples plataformas de sistemas de gestión de contenidos (CMS) como WordPress, Magento y OpenCart han sido el objetivo de un nuevo skimmer web de tarjetas de crédito llamado Caesar Cipher Skimmer.
Un web skimmer se refiere al malware que se inyecta en sitios de comercio electrónico con el objetivo de robar información financiera y de pago.
Según Sucuri, la última campaña implica realizar modificaciones maliciosas en la página PHP de pago asociada con el complemento WooCommerce para WordPress («form-checkout.php») para robar datos de tarjetas de crédito.
«Durante los últimos meses, las inyecciones se han modificado para que parezcan menos sospechosas que un guión largo y confuso», afirma el investigador de seguridad Ben Martin. dichoseñalando el intento del malware de hacerse pasar por Google Analytics y Google Tag Manager.
Específicamente, emplea el mismo mecanismo de sustitución empleado en cifrado César para codificar el fragmento de código malicioso en una cadena confusa y ocultar el dominio externo que se utiliza para alojar la carga útil.
Se supone que todos los sitios web han sido previamente comprometidos a través de otros medios para montar un script PHP que lleva los nombres «style.css» y «css.php» en un aparente esfuerzo por imitar un hoja de estilo HTML y evadir la detección.
Estos scripts, a su vez, están diseñados para cargar otro código JavaScript ofuscado que crea un WebSocket y se conecta a otro servidor para buscar el skimmer real.
«El script envía la URL de las páginas web actuales, lo que permite a los atacantes enviar respuestas personalizadas para cada sitio infectado», señaló Martin. «Algunas versiones del script de segunda capa incluso verifican si lo carga un usuario de WordPress que inició sesión y modifican la respuesta para ellos».
Algunas versiones del guión tienen explicaciones legibles por programadores (también conocidas como comentarios) escritas en ruso, lo que sugiere que los actores de amenazas detrás de la operación hablan ruso.
El archivo form-checkout.php en WooCommerce no es el único método utilizado para implementar el skimmer, ya que también se ha descubierto que los atacantes hacen un mal uso del complemento WPCode legítimo para inyectarlo en la base de datos del sitio web.
En los sitios web que utilizan Magento, las inyecciones de JavaScript se realizan en tablas de bases de datos como core_config_data. Actualmente no se sabe cómo se logra esto en los sitios OpenCart.
Debido a su uso generalizado como base para sitios web, WordPress y el ecosistema de complementos más amplio se han convertido en un objetivo lucrativo para actores maliciosos, lo que les permite un fácil acceso a una amplia superficie de ataque.
Es imperativo que los propietarios de sitios mantengan actualizados sus complementos y software CMS, apliquen la higiene de las contraseñas y los auditen periódicamente para detectar la presencia de cuentas de administrador sospechosas.