Theo một báo cáo công bố ngày 02/4/2020, các nhà nghiên cứu của công ty an ninh mạng RiskIQ (Mỹ) đã phát hiện ra một digital skimmer mới được gọi là MakeFrame, cho phép chèn iFrame HTML vào các trang web để lấy cắp dữ liệu thanh toán.
Chiến dịch này được thực hiện bởi nhóm tin tặc Magecart Group 7 – đây là một nhóm nhỏ của nhóm tin tặc Magecart. Tính tới nay, chiến dịch này đã xâm nhập thành công ít nhất 19 trang web thương mại điện tử khác nhau để đánh cắp thông tin chi tiết về thẻ thanh toán của khách hàng.
Các cuộc tấn công của tin tặc Magecart thường liên quan đến việc xâm nhập cửa hàng trực tuyến để đánh cắp số thẻ tín dụng và chi tiết tài khoản của người mua hàng trên trang web bị tấn công, bằng cách đặt các skimmers JavaScript độc hại vào các mẫu thanh toán nhằm thu lợi bất chính.
Trong vài năm qua, các tin tặc liên quan đến Magecart đã tấn công nhiều trang web lớn như: trang web bán vé của Olympics, công ty thiết bị nhà bếp NutriBullet, chuỗi cửa hàng Macy’s, công ty phân phối vé Ticketmaster, hãng hàng không British Airways, công ty bán lẻ trực tuyến Newegg và nhiều nền tảng thương mại điện tử khác.
RiskIQ cho biết những kẻ tấn công chỉ cần chèn 22 dòng mã JavaScript là có được quyền truy cập thời gian thực vào dữ liệu thẻ thanh toán của nạn nhân.
Sử dụng làm rối mã để tránh bị phát hiện
Các nhà nghiên cứu của RiskIQ cho biết, những mã MakeFrame Skimmer mới là một đối tượng nhị phân lớn (Binary large object – blo). Các mảng chuỗi ký tự được mã hóa hex và làm rối mã (obfuscation). Chúng được được trộn lẫn với các mã bình thường để tránh bị phát hiện.
Trong mỗi lần mã hóa, mã skimmer không thể được obfuscation 2 lần bởi có lệnh kiểm tra (_0x5cc230 [‘removeCookie’]) giúp đảm bảo mã không bị thay đổi. Khi vượt qua kiểm tra này, mã skimmer được xây dựng lại bằng cách giải mã các chuỗi bị xáo trộn.
Tin tặc Magecart tấn công 19 trang web để đánh cắp dữ liệu thanh toán
Khi skimmer được thêm vào trang web nạn nhân, MakeFrame cũng có các điều khoản để mô phỏng phương thức thanh toán, sử dụng iFrame để tạo một form thanh toán, dò tìm những dữ liệu được nhập vào form thanh toán giả khi nạn nhân nhấn nút “gửi”. Nó cũng xóa thẻ thông tin dưới dạng tệp .php đến một tên miền đã bị xâm nhập khác (piscinasecologicas.com).
Phương pháp đánh cắp dữ liệu (exfiltration) này giống như phương pháp Magecart Group 7 thường sử dụng. Chúng gửi dữ liệu bị đánh cắp dưới dạng tệp .php đến các trang web bị tấn công khác để ăn cắp dữ liệu.
RiskIQ cho biết có ba phiên bản riêng biệt của skimmer này với các mức độ khác nhau đã được xác định. Các trang web bị ảnh hưởng thường thuộc sở hữu của các doanh nghiệp nhỏ hoặc vừa.
Gia tăng các cuộc tấn công Magecart
Mặc dù được phát hiện từ năm 2010, nhưng nhóm tin tặc Magecart mới thật sự phát triển mạnh mẽ trong vài năm gần đây. Nhóm bao gồm hàng chục nhóm nhỏ chuyên về các cuộc tấn công mạng liên quan đến trộm cắp thẻ tín dụng kỹ thuật số.
Những kẻ đứng đằng sau các mối đe dọa này đã tự động hóa quá trình tấn công các trang web với skimmer bằng cách chủ động quét các gói dịch vụ lưu trữ đối tượng của Amazon có cấu hình sai.
Thực tế, làn sóng tấn công e-skimming gần đây đã phát triển rất mạnh mẽ. Chúng có ảnh hưởng đến hơn 18.000 tên miền, khiến FBI phải đưa ra cảnh báo về mối đe dọa mạng và kêu gọi các doanh nghiệp xây dựng các hàng rào bảo mật để bảo vệ chính họ.
Trong một bài viết được đăng vào tháng trước, cơ quan tình báo FPI khuyến nghị các công ty nên cập nhật phần mềm, cho phép xác thực đa yếu tố, cách ly cơ sở hạ tầng mạng quan trọng và đề phòng các cuộc tấn công lừa đảo.
Skimmer mới nhất của Group 7 là một minh họa cho sự phát triển liên tục của tin tặc. Trong đại dịch COVID-19, các cuộc tấn công Magecart đã tăng 20%, bởi xu hướng mua hàng qua mạng tăng đột biến. Điều này làm mối đe dọa digital Skimmer đang có một trong môi trường phát triển tốt nhất từ trước đến nay.
