WordPress, Magento ve OpenCart gibi birden fazla içerik yönetim sistemi (CMS) platformu, Caesar Cipher Skimmer adlı yeni bir kredi kartı web skimmer’ının hedefi haline geldi.
Web skimmer, finansal bilgileri ve ödeme bilgilerini çalmak amacıyla e-ticaret sitelerine enjekte edilen kötü amaçlı yazılımları ifade eder.
Sucuri’ye göre, en son kampanya, kredi kartı ayrıntılarını çalmak için WordPress için WooCommerce eklentisi (“form-checkout.php”) ile ilişkili PHP ödeme sayfasında kötü niyetli değişiklikler yapmayı gerektiriyor.
Güvenlik araştırmacısı Ben Martin, kötü amaçlı yazılımın Google Analytics ve Google Etiket Yöneticisi kılığına girme girişimine dikkat çekerek, “Geçtiğimiz birkaç ay boyunca enjeksiyonlar, uzun süre gizlenen bir komut dosyasından daha az şüpheli görünecek şekilde değiştirildi.” dedi.
Spesifik olarak, kötü amaçlı kod parçasını bozuk bir dizeye kodlamak ve yükü barındırmak için kullanılan harici etki alanını gizlemek için Caesar şifresinde kullanılan aynı ikame mekanizmasını kullanır.
Tüm web sitelerinin, bir HTML stil sayfasını taklit etmek ve tespit edilmekten kaçınmak amacıyla “style.css” ve “css.php” adlarını kullanan bir PHP betiği oluşturmak için daha önce başka yollarla ele geçirildiği varsayılmaktadır.
Bu betikler, WebSocket oluşturan ve gerçek skimmer’ı almak için başka bir sunucuya bağlanan başka bir gizlenmiş JavaScript kodunu yüklemek üzere tasarlanmıştır.
“Komut dosyası, saldırganların her enfekte site için özelleştirilmiş yanıtlar göndermesine olanak tanıyan geçerli web sayfalarının URL’sini gönderir,” diye belirtti Martin. “İkinci katman komut dosyasının bazı sürümleri, oturum açmış bir WordPress kullanıcısı tarafından yüklenip yüklenmediğini bile kontrol eder ve yanıtı onlar için değiştirir.”
Komut dosyasının bazı versiyonlarında programcının okuyabileceği açıklamalar (diğer adıyla yorumlar) Rusça yazılmış olup, bu da operasyonun arkasındaki tehdit aktörlerinin Rusça konuştuğunu düşündürmektedir.
WooCommerce’deki form-checkout.php dosyası, skimmer’ı dağıtmak için kullanılan tek yöntem değil; çünkü saldırganların meşru WPCode eklentisini web sitesi veritabanına enjekte etmek için kötüye kullandıkları da tespit edildi.
Magento kullanan web sitelerinde, JavaScript enjeksiyonları core_config_data gibi veritabanı tablolarında gerçekleştirilir. Bunun OpenCart sitelerinde nasıl başarıldığı şu anda bilinmiyor.
Web sitelerinin temeli olarak yaygın kullanımı nedeniyle WordPress ve daha geniş eklenti ekosistemi, kötü niyetli aktörler için kazançlı bir hedef haline geldi ve geniş bir saldırı yüzeyine kolay erişim sağladı.
Site sahiplerinin CMS yazılımlarını ve eklentilerini güncel tutmaları, şifre hijyenini uygulamaları ve şüpheli yönetici hesaplarının varlığına karşı bunları düzenli aralıklarla denetlemeleri zorunludur.