Hơn 100 website thương mại điện tử bị nhiễm mã độc đánh cắp dữ liệu thẻ

30

Theo thông tin từ Netlab 360 (công ty có trụ sở tại Trung Quốc), hơn 100 trang web thương mại điện tử bị kẻ tấn công chèn các liên kết khiến JavaScript độc hại, được thực thi để đọc lén dữ liệu thẻ thanh toán của khách hàng.

Trong số những trang bị nhiễm có một số trang web có trụ sở tại Hoa Kỳ bán thiết bị nha khoa, hàng hóa trẻ em và xe đạp leo núi. Các nhà nghiên cứu của Netlab 360 đã tìm thấy tổng cộng 105 trang web thực thi JavaScript đọc dữ liệu thẻ được lưu trữ trên máy chủ có địa chỉ magento-analytics[.]com. Mặc dù, khi truy cập vào tên miền này, trình duyệt sẽ nhận được lỗi 403, thì một loạt các URL của magento-analytics[.]com chứa mã lệnh được thiết kế để trích xuất tên, số thẻ, ngày hết hạn và CVV của thẻ thanh toán được sử dụng để mua hàng.

Một trong những trang web bị nhiễm được xác định bởi Netlab 360 là ilybean[.]com, đây là doanh nghiệp ở Orlando, Florida, chuyên bán đồ dùng cho trẻ em. Ảnh chụp màn hình cho thấy trang web này thực thi JavaScript được lưu trữ tại magento-analytics[.]com.
Một phần của mã lệnh JavaScript được đặt tại https://magento-analytics[.]com/5c3b53f75a8cb.js (hiển thị một phần ở phía bên phải hình trên). Mặc dù khó có thể phân tích đầy đủ cú pháp, nhưng có thể thấy các tên biến dễ hiểu như verisign_cc_number, shipping:firstname, shipping:lastname, verisign_expiration, verisign_expiration_yr, and verisign_cc_cid. Các hàm này cho thấy đoạn mã thu thập dữ liệu thẻ thanh toán và chuyển thành dạng base64 để truyền đi.

Theo ông Jérôme Segura, người đứng đầu bộ phận nghiên cứu các nguy cơ của công ty bảo mật Malwarebytes, đây không phải là một chiến dịch tấn công mới vì tên miền đó đã tồn tại trong nhiều tháng. Tuy nhiên, đây là một trong những đợt tấn công mạnh mẽ nhất. Theo thống kê, trung bình mỗi ngày Malwarebytes chặn khoảng 100 kết nối đến tên miền này từ những người dùng truy cập vào các cửa hàng trực tuyến đã bị hack.

Segura chỉ vào một truy vấn tìm kiếm (https://urlscan.io/search/#domain%3Amagento-analytics[.]com), cho thấy 203 trang web đã bị ảnh hưởng. Dường như một số trang web trong số đó không còn thực thi mã được lưu trữ trên magento-analytics[.]com, rất có thể là do chúng đã được loại bỏ đoạn JavaScript độc hại sau khi bị phát hiện.

Có ít nhất 6 trang web thuộc danh sách 1 triệu trang web thương mại điện tử hàng đầu của Alexa nằm trong danh sách các trang nhiễm độc mà Netlab 360 báo cáo. Đó là: mitsosa[.]com; alkoholeswiata[.]com; spieltraum-shop[.]de; ilybean[.]com; mtbsale[.]com và ucc-bd[.]com.

Kể từ khi British Airways, Newegg và 7 trang web thương mại khác với hơn 500 ngàn người truy cập mỗi tháng bị nhiễm độc, thì đây được gọi là đợt tấn công bùng nổ mới kể từ cuối năm 2018. Có trường hợp một trang web bị nhiễm hai loại mã độc của hai nhóm tội phạm cạnh tranh với nhau. Xu hướng này vẫn đang tiếp diễn mạnh trong khoảng 2 tháng gần đây.

Các bản ghi lịch sử IP và whois cho thấy tên miền magento-analytics[.]com không liên quan đến Magento. Tin tặc có thể đã chọn tên miền này để đánh lừa những người quản trị của các trang thương mại điện tử.

Người dùng rất khó biết được liệu trang thương mại điện tử mà họ truy cập có bị nhiễm mã độc hay không. Malwarebytes và nhiều ứng dụng bảo mật đầu cuối khác có thể chặn được những chiến dịch tấn công phổ biến nhưng trước những đợt tấn công mới xuất hiện liên tục, người dùng cần phải cảnh giác, không nên nghĩ rằng các phần mềm bảo mật có thể đảm bảo an toàn 100%. Vì vậy, tốt nhất là không dùng thẻ ghi nợ để thực hiện thanh toán trực tuyến. Chủ thẻ tín dụng nên kiểm tra sao kê hàng tháng để phát hiện các giao dịch gian lận. Ngoài ra, người dùng có thể sử dụng những loại thẻ tạm với hạn mức thấp.

Nguyễn Anh Tuấn (Theo Ars Technica)

BÌNH LUẬN

Please enter your comment!
Please enter your name here