Malware Skimmer Baru Menyerang Situs Web E-commerce Untuk Mencuri Data Kartu Kredit. Para peneliti mengidentifikasi varian baru dari serangan skimming kartu kredit, Caesar Cipher Skimmer, yang menargetkan beberapa sistem manajemen konten (CMS), termasuk WordPress, Magento, dan OpenCart.

Skimmer ini secara khusus menargetkan proses checkout, menyuntikkan kode berbahaya ke dalam file PHP checkout, karena serangan ini memanfaatkan string yang disamarkan dan teknik Caesar Cipher untuk menyembunyikan muatan jahatnya, yang merupakan temuan penting karena tidak biasa skimmer baru digunakan di berbagai platform secara bersamaan.

Malware Skimmer Baru Menyerang Situs Web E-commerce Untuk Mencuri Data Kartu Kredit

Seorang klien melaporkan pencurian kartu kredit di halaman checkout WooCommerce mereka, di mana investigasi mengungkapkan malware yang disuntikkan ke dalam skrip form-checkout.php, target umum pada tahun 2023, menurut laporan ancaman baru-baru ini, yang memainkan peran penting dalam checkout WooCommerce, sehingga menjadi cara yang efektif bagi penyerang untuk mencuri informasi kartu kredit.

  1. Ancaman skimming kartu kredit baru dengan aktivitas yang meningkat mempengaruhi beberapa platform CMS populer.
  2. Caesar Cipher Skimmer menginfeksi halaman checkout WordPress, Magento, dan OpenCart.
  3. Para pelaku menggunakan metode penyamaran yang cerdas untuk mencegah muatan mereka terdeteksi.

Dalam injeksi skimmer gtag baru-baru ini, penyerang menggunakan teknik Caesar Cipher untuk mengaburkan kode berbahaya, yang melibatkan pemisahan string kode menjadi karakter individual, membalikkan urutannya, dan kemudian mengurangi nilai tertentu (mis., 3) dari nilai unicode setiap karakter.

Variasi baru dari serangan skimming kartu kredit “gtag” berdampak pada hampir 80 situs dalam dua minggu pertama setelah penemuannya, demikian laporan Sucuri terbaru. Disebut Caesar Cipher Skimmer, malware baru ini disebarkan ke beberapa platform CMS yang berbeda, menginfeksi WordPress, Magento, dan OpenCart.

Baca Juga :  Tips Mengganti Nada Dering WhatsApp Berbeda Tiap Kontak dengan Mudah

Malware Skimmer Baru Menyerang Situs Web E-commerce Untuk Mencuri Data Kartu Kredit

Para peneliti dan analis keamanan berfokus pada kasus di mana pencuri informasi kartu menginfeksi plugin WordPress WooCommerce, memicu program antivirus mereka di komputer saat berada di halaman checkout situs web karena kode mencurigakan yang disuntikkan ke dalam skrip ‘form-checkout.php’.

Akhir-akhir ini, penyuntikan telah berubah menjadi tidak terlalu mencurigakan dibandingkan dengan skrip yang dikaburkan. Mereka berpura-pura menjadi plugin Google Analytics dan Google Tag Manager secara bersamaan, menggunakan String.fromCharCode untuk mengaburkan kodenya.

Malware ini menggunakan teknik seperti memecah string menjadi beberapa karakter, membalik urutan karakter, mengurangi dengan tiga dan mengubah kembali kode karakter dari nilai Unicode setiap karakter, dan menggabungkan karakter kembali ke dalam string untuk menyembunyikan muatannya – pada dasarnya menggunakan Caesar Cipher pada nilai Unicode dan bukan huruf.

Penulis malware menggunakan teknik Caesar Cipher untuk mengaburkan domain muatan berbahaya dengan mengurangi nilai 3 dari setiap karakter Unicode pada URL domain, sehingga sulit untuk mendeteksi perangkat lunak antivirus domain berbahaya dan vendor keamanan.

Malware kemudian terhubung ke server jarak jauh melalui WebSocket untuk menerima instruksi lebih lanjut.

Beberapa versi malware bahkan dapat mengidentifikasi pengguna WordPress yang login dan memodifikasi perilaku skimmer yang sesuai. Komentar kode dalam skrip malware menunjukkan bahwa para pengembangnya berbahasa Rusia.

Menurut Sucuri, malware yang menargetkan platform e-commerce telah ditemukan di WordPress, Magento, dan Opencart.

Para penyerang mengeksploitasi kerentanan pada file form-checkout.php WooCommerce dan plugin Insert Headers and Footers WPCode pada situs WordPress.

Untuk Magento, mereka menargetkan tabel core_config_data, di mana kode khusus menyimpan JavaScript skimming kartu kredit, sementara infeksi OpenCart belum teramati, tetapi lokasi malware sedang diselidiki.

Baca Juga :  Cara Membersihkan Cache di Laptop Supaya Tidak Lambat Proses Menjalankan Aplikasi

Skrip memuat lapisan tambahan yang membuat WebSocket ke sebuah URL dan terhubung ke server jarak jauh yang mengirimkan lapisan skimmer lainnya. Lapisan kedua ini terkadang memeriksa apakah pengguna WordPress yang login memuatnya dan mengirimkan respons khusus untuk setiap situs yang terinfeksi. Versi lama dari lapisan kedua berisi kode dalam bahasa Rusia.

Dalam beberapa kasus, para penyerang juga memanfaatkan plugin ‘Insert Headers and Footers WPCode’ untuk menyuntikkan malware ke dalam basis data situs web, yang digunakan oleh aktor jahat lainnya untuk menambahkan pengalihan sisi server dalam kode situs web.

JavaScript skimming kartu kredit sering ditemukan di tabel database ‘core_config_data’ di situs web Magento, yang menyimpan kode khusus yang dimasukkan ke dalam admin Magento.

Malware Skimmer Baru Menyerang Situs Web E-commerce Untuk Mencuri Data Kartu Kredit

Langkah-langkah mitigasi

Jika Anda adalah pemilik situs web – terutama jika Anda mengelola situs web e-niaga – jadikan analisis ini sebagai pengingat untuk selalu menjaga keamanan situs web sebagai prioritas.Anda tidak ingin menerima telepon dari Visa atau Mastercard yang mengidentifikasi situs web Anda sebagai tempat pembelian yang umum untuk kartu yang dicuri.Mari kita lihat beberapa langkah yang bisa Anda lakukan untuk melindungi situs e-niaga Anda dari skimmer kartu kredit:

  • Selalu perbarui situs Anda. Metode infeksi yang paling umum adalah melalui perangkat lunak yang sudah ketinggalan zaman: para penyerang selalu memeriksa kerentanan pada pengaya dan tema yang sudah ketinggalan zaman dan memanfaatkan otomatisasi untuk mengeksploitasi lingkungan yang rentan dengan cepat.Anda bisa mencegah hal ini hanya dengan menambal situs Anda dan memastikan perangkat lunak menggunakan pembaruan keamanan terbaru. Atau, gunakan WAF untuk menambal secara virtual terhadap kerentanan yang diketahui.
  • Tinjau akun admin dan selalu perbarui kata sandi. Penyerang biasanya mendapatkan akses melalui akun dengan kata sandi yang lemah. Setelah mereka mendapatkan akses menggunakan akun admin, mereka dapat membuat perubahan tak terbatas pada konten situs.Penyerang akan sering menambahkan akun admin tambahan yang dapat mereka gunakan nanti. Penting untuk secara rutin meninjau akun admin yang dikonfigurasi untuk memastikan bahwa semuanya valid, dan mengubah kata sandi secara teratur. Pastikan semua kata sandi kuat dan unik dari kredensial lainnya.
  • Memanfaatkan integritas file dan pemantauan situs web. Pemantauan integritas file memeriksa dan membandingkan file dengan garis dasar yang diketahui untuk mendeteksi perubahan yang mencurigakan atau tak terduga. Pada dasarnya ini berfungsi sebagai sistem deteksi dini. Jika peretas mendapatkan akses ke situs web Anda dan memodifikasi file, atau jika malware mengubah kode situs Anda, sistem ini akan menandai perubahan ini, sehingga memungkinkan respons yang cepat dan meminimalkan potensi kerusakan.
  • Lindungi situs Anda dengan firewall aplikasi web. Firewall situs web yang dikonfigurasi dengan benar dapat membantu memblokir lalu lintas berbahaya dengan mencegah upaya peretasan agar tidak mencapai server hosting.
Baca Juga :  Tips Cara Rahasia Lihat Status WhatsApp Orang Lain Tanpa Terdeteksi

Semoga berhasil !

Malware Skimmer Baru Menyerang Situs Web E-commerce Untuk Mencuri Data Kartu Kredit

Sumber : https://cybersecuritynews.com