Hacker Magecart chèn iFrame Skimmer vào 19 trang web để đánh cắp dữ liệu thanh toán

  • 13/04/2020
  • 08:37

Mới đây, ngày 2/4 các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch skimmer mới của Magecart (những hacker chuyên tấn công các trang TMĐT). Chiến dịch này đã xâm nhập thành công ít nhất 19 trang web thương mại điện tử khác nhau để đánh cắp thông tin chi tiết về thẻ thanh toán của khách hàng.
Theo một báo cáo gần đây, các nhà nghiên cứu tại công ty an ninh mạng Mỹ RiskIQ đã phát hiện ra một digital skimmer mới được gọi là “MakeFrame”. Thiết bị này chèn các HTML iFrame vào các trang web để lấy cắp dữ liệu thanh toán.
Các cuộc tấn công MakeFrame được cho là do Magecart Group 7 gây ra vì cách tiếp cận của nó. Kẻ xấu sử dụng các trang web đã bị xâm nhập để lưu trữ mã skimming, tải skimmer trên các trang web bị tấn công khác và lấy những dữ liệu bị đánh cắp.
Các cuộc tấn công của Magecart thường liên quan đến việc xâm nhập cửa hàng trực tuyến để đánh cắp số thẻ tín dụng và chi tiết tài khoản của người mua hàng trên trang web bị tấn công bằng cách đặt các skimmers (bộ lọc) JavaScript độc hại vào các mẫu thanh toán.
Đây là vụ tấn công mới nhất của những nhóm Magecart. Mục tiêu của tất cả những nhóm này đều tập trung vào việc đánh cắp số thẻ tín dụng để thu lợi bất chính.
Trong vài năm qua, các hacker liên quan đến Magecart đã tấn công nhiều trang web lớn như trang web bán vé của Olympics, công ty thiết bị nhà bếp NutriBullet, chuỗi cửa hàng Macy’s, công ty phân phối vé Ticketmaster, hãng hàng không British Airways, công ty bán lẻ trực tuyến Newegg và nhiều nền tảng TMĐT khác.
RiskIQ cho biết những kẻ tấn công chỉ cần chèn 22 dòng mã JavaScript là có được quyền truy cập thời gian thực vào dữ liệu thẻ thanh toán của nạn nhân.

Sử dụng Obfuscation để tránh bị phát hiện

Các nhà nghiên cứu của RiskIQ cho biết những mã MakeFrame Skimmer mới là một blob (Binary large object – Đối tượng nhị phân lớn) các mảng chuỗi ký tự được mã hóa hex và mã hóa obfuscation. Chúng được được trộn lẫn với các mã bình thường để tránh bị phát hiện,
Nhưng trong mỗi lần mã hóa, mã không thể được mã hóa obfuscation 2 lần bởi vì có lệnh kiểm tra (_0x5cc230 [‘removeCookie’]) giúp đảm bảo mã không bị thay đổi. Khi vượt qua kiểm tra này, mã skimmer được xây dựng lại bằng cách giải mã các chuỗi bị xáo trộn.

magecart cyber attack

Khi skimmer được thêm vào trang web nạn nhân, MakeFrame cũng có các điều khoản để mô phỏng phương thức thanh toán, sử dụng iFrame để tạo một form thanh toán, dò tìm những dữ liệu được nhập vào form thanh toán giả khi nạn nhân nhấn nút “gửi”. Nó cũng xóa thẻ thông tin dưới dạng tệp ‘.php’ đến một miền đã bị xâm nhập khác (piscinasecologicas dot com).
RiskIQ phát biểu “Phương pháp exfiltration (đánh cắp dữ liệu) này giống như phương pháp Magecart Group 7 thường sử dụng. Chúng gửi dữ liệu bị đánh cắp dưới dạng tệp .php đến các trang web bị tấn công khác để ăn cắp dữ liệu”.
“Mỗi trang web bị hại được sử dụng để khai thác dữ liệu cũng đã được chèn skimmer và được sử dụng để lưu trữ mã skimming tải trên các trang web bị hại khác”.

magecart JS skimmer

RiskIQ cho biết có ba phiên bản riêng biệt của skimmer này với các mức độ khác nhau đã được xác định. RiskIQ cho biết những trang web bị ảnh hưởng thường là một doanh nghiệp nhỏ hoặc vừa.

Tăng tỷ lệ mắc các cuộc tấn công Magecart

Mặc dù được phát hiện từ năm 2010, chỉ đến vài năm qua Magecart mới thật sự tăng trưởng dài.
RiskIQ phát biểu trong một báo cáo “Magecart là một nhóm tội phạm mạng đang phát triển nhanh chóng bao gồm hàng chục nhóm nhỏ chuyên về các cuộc tấn công mạng liên quan đến trộm cắp thẻ tín dụng kỹ thuật số”.
Những kẻ đứng đằng sau các mối đe dọa này đã tự động hóa quá trình gây hại các trang web với skimmer bằng cách chủ động quét các gói Amazon S3 bucket có cấu hình sai (dịch vụ lưu trữ đối tượng của Amazon).
Làn sóng tấn công e-skimming gần đây đã phát triển rất mạnh mẽ. Chúng có ảnh hưởng đến hơn 18.000 tên miền, khiến FBI phải đưa ra cảnh báo về mối đe dọa mạng và kêu gọi các doanh nghiệp dựng lên các hàng rào bảo mật để bảo vệ chính họ.
Trong một bài viết được đăng vào tháng trước, cơ quan tình báo khuyến nghị các công ty nên cập nhật phần mềm, cho phép xác thực đa yếu tố, cách ly cơ sở hạ tầng mạng quan trọng và đề phòng các cuộc tấn công lừa đảo.
RiskIQ kết luận “Bộ skimmer mới nhất của Group 7 là một minh họa cho sự phát triển liên tục của bọn chúng. Những kẻ xấu đã mài giũa các kỹ thuật, cố gắng và phát triển những kỹ thuật mới mọi lúc”.
“Những kẻ tấn công giờ đây đã có thêm những kẻ đồng hành trong việc cải thiện và mở rộng phạm vi tấn công. Dữ liệu RiskIQ cho thấy các cuộc tấn công Magecart đã tăng 20% ​​trong khi đại dịch COVID-19 đang diễn ra. Mọi người chủ yếu mua hàng qua mạng và mối đe dọa digital skimming đang có một trong môi trường phát triển tốt nhất từ trước đến nay.

  • Nguồn tin: