Nhiều nền tảng hệ thống quản lý nội dung (CMS) như WordPress, Magento và OpenCart đã được nhắm mục tiêu bởi một skimmer web thẻ tín dụng mới có tên Caesar Cipher Skimmer.
Web skimmer đề cập đến phần mềm độc hại được tiêm vào các trang web thương mại điện tử với mục tiêu đánh cắp thông tin tài chính và thanh toán.
Theo Sucuri, chiến dịch mới nhất đòi hỏi phải thực hiện các sửa đổi độc hại đối với tệp PHP thanh toán được liên kết với plugin WooCommerce cho WordPress ("form-checkout.php") để đánh cắp chi tiết thẻ tín dụng.
Cụ thể, nó sử dụng cùng một cơ chế thay thế được sử dụng trong mật mã Caesar để mã hóa đoạn mã độc hại thành một chuỗi bị cắt xén và che giấu miền bên ngoài được sử dụng để lưu trữ tải trọng.
Người ta cho rằng tất cả các trang web trước đây đã bị xâm phạm thông qua các phương tiện khác để tạo ra một tập lệnh PHP có tên là "style.css" và "css.php" trong một nỗ lực rõ ràng để bắt chước một biểu định kiểu HTML và tránh bị phát hiện.
Các tập lệnh này, lần lượt, được thiết kế để tải một mã JavaScript xáo trộn khác tạo ra WebSocket và kết nối với một máy chủ khác để tìm nạp skimmer thực tế.
Một số phiên bản của kịch bản có giải thích có thể đọc được của lập trình viên (hay còn gọi là nhận xét) được viết bằng tiếng Nga, cho thấy các tác nhân đe dọa đằng sau hoạt động này là nói tiếng Nga.
Tệp form-checkout.php trong WooCommerce không phải là phương pháp duy nhất được sử dụng để triển khai skimmer, vì những kẻ tấn công cũng đã được phát hiện lạm dụng plugin WPCode hợp pháp để đưa nó vào cơ sở dữ liệu trang web.
Trên các trang web sử dụng Magento, việc tiêm JavaScript được thực hiện trên các bảng cơ sở dữ liệu như core_config_data. Hiện tại vẫn chưa biết làm thế nào điều này được thực hiện trên các trang web OpenCart.
Do được sử dụng phổ biến làm nền tảng cho các trang web, WordPress và hệ sinh thái plugin lớn hơn đã trở thành mục tiêu sinh lợi cho các tác nhân độc hại, cho phép chúng dễ dàng truy cập vào bề mặt tấn công rộng lớn.
Điều bắt buộc là chủ sở hữu trang web phải cập nhật phần mềm và plugin CMS của họ, thực thi vệ sinh mật khẩu và kiểm tra định kỳ chúng để tìm sự hiện diện của các tài khoản quản trị viên đáng ngờ.