Một kẻ tấn công dưới sự bảo trợ của Magecart đã lây nhiễm phần mềm độc hại cho một số trang web thương mại điện tử không xác định ở Hoa Kỳ, Vương quốc Anh và năm quốc gia khác nhằm đánh cắp số thẻ tín dụng và thông tin nhận dạng cá nhân (PII) của những người mua hàng trên các trang web này. Nhưng trong một khía cạnh mới, tác nhân đe dọa cũng đang sử dụng cùng các trang web làm máy chủ để phân phối phần mềm độc hại lướt thẻ đến các trang web mục tiêu khác.
Các nhà nghiên cứu từ Akamai người phát hiện ra chiến dịch đang diễn ra lưu ý rằng điều này không chỉ làm cho chiến dịch trở nên khác biệt so với hoạt động Magecart trước đó mà còn nguy hiểm hơn nhiều.
Họ đánh giá rằng các cuộc tấn công mạng đã diễn ra ít nhất một tháng và có khả năng đã ảnh hưởng đến hàng chục nghìn người. Akamai cho biết ngoài Hoa Kỳ và Vương quốc Anh, họ đã phát hiện ra các trang web bị ảnh hưởng bởi chiến dịch ở Brazil, Tây Ban Nha, Estonia, Úc và Peru.
Trộm cắp thẻ thanh toán và hơn thế nữa: Thỏa hiệp kép
Magecart là một tập hợp lỏng lẻo gồm các nhóm tội phạm mạng tham gia vào các cuộc tấn công lướt qua thẻ thanh toán trực tuyến. Trong vài năm qua, các nhóm này đã đưa skimmer thẻ trùng tên của họ vào hàng chục nghìn trang web trên toàn thế giới — bao gồm các trang web như TicketMaster và British Airways —và đánh cắp hàng triệu thẻ tín dụng của họ, sau đó họ đã kiếm tiền theo nhiều cách khác nhau.
Akamai đã thống kê các cuộc tấn công Magecart vào 9,200 trang web thương mại điện tử vào năm ngoái, trong đó 2,468 trang vẫn bị nhiễm tính đến cuối năm 2022.
Loại điển hình modus operandi đối với các nhóm này đã lén lút tiêm mã độc vào các trang web thương mại điện tử hợp pháp — hoặc vào các thành phần của bên thứ ba như trình theo dõi và giỏ hàng — mà các trang web sử dụng, bằng cách khai thác các lỗ hổng đã biết. Khi người dùng nhập thông tin thẻ tín dụng và các dữ liệu nhạy cảm khác trên trang thanh toán của các trang web bị xâm nhập, skimmer sẽ âm thầm chặn dữ liệu và gửi dữ liệu đó đến một máy chủ từ xa. Cho đến nay, những kẻ tấn công chủ yếu nhắm mục tiêu vào các trang web chạy nền tảng thương mại điện tử mã nguồn mở Magento trong các cuộc tấn công Magecart.
Chiến dịch mới nhất hơi khác một chút ở chỗ kẻ tấn công không chỉ tiêm skimmer thẻ Magecart vào các trang web mục tiêu mà còn chiếm quyền điều khiển nhiều trang trong số đó để phát tán mã độc.
Theo phân tích của Akamai, “Một trong những lợi thế chính của việc sử dụng các tên miền trang web hợp pháp là sự tin tưởng vốn có mà các tên miền này đã tạo dựng được theo thời gian”. “Các dịch vụ bảo mật và hệ thống chấm điểm tên miền thường chỉ định mức độ tin cậy cao hơn cho các tên miền có hồ sơ theo dõi tích cực và lịch sử sử dụng hợp pháp. Do đó, các hoạt động độc hại được thực hiện trong các miền này có nhiều khả năng không bị phát hiện hoặc được hệ thống bảo mật tự động coi là lành tính.”
Ngoài ra, kẻ tấn công đứng sau hoạt động mới nhất cũng đã tấn công các trang web không chỉ chạy Magento mà cả các phần mềm khác, chẳng hạn như WooC Commerce, Shopify và WordPress.
Một cách tiếp cận khác, cùng một kết quả
Nhà nghiên cứu Roman Lvovsky của Akamai viết trong bài đăng trên blog: “Một trong những phần đáng chú ý nhất của chiến dịch là cách những kẻ tấn công thiết lập cơ sở hạ tầng của chúng để thực hiện chiến dịch lướt web”. “Trước khi chiến dịch có thể bắt đầu một cách nghiêm túc, những kẻ tấn công sẽ tìm kiếm các trang web dễ bị tấn công để đóng vai trò là 'máy chủ' chứa mã độc mà sau này được sử dụng để tạo ra cuộc tấn công lướt web.”
Phân tích của Akamai về chiến dịch cho thấy kẻ tấn công sử dụng nhiều thủ thuật để làm xáo trộn hoạt động độc hại. Ví dụ: thay vì đưa skimmer trực tiếp vào trang web mục tiêu, Akamai nhận thấy kẻ tấn công đã tiêm một đoạn mã JavaScript nhỏ vào các trang web của mình, sau đó lấy skimmer độc hại từ một trang web lưu trữ.
Kẻ tấn công đã thiết kế trình tải JavaScript trông giống như Trình quản lý thẻ của Google, mã theo dõi Facebook Pixel và các dịch vụ bên thứ ba hợp pháp khác nên rất khó phát hiện. Người điều hành chiến dịch giống như Magecart đang diễn ra cũng đã sử dụng mã hóa Base64 để làm xáo trộn URL của các trang web bị xâm nhập lưu trữ skimmer.
Lvovsky viết: “Quá trình lọc dữ liệu bị đánh cắp được thực hiện thông qua một yêu cầu HTTP đơn giản, được bắt đầu bằng cách tạo thẻ IMG trong mã skimmer”. “Dữ liệu bị đánh cắp sau đó sẽ được thêm vào yêu cầu dưới dạng tham số truy vấn, được mã hóa dưới dạng chuỗi Base64.”
Là một chi tiết tinh vi, Akamai cũng tìm thấy mã trong phần mềm độc hại skimmer đảm bảo rằng nó không lấy cắp cùng một thẻ tín dụng và thông tin cá nhân hai lần.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign
- : có
- :là
- :không phải
- $ LÊN
- 200
- 2022
- 9
- a
- Theo
- Hành động
- hoạt động
- hoạt động
- Ngoài ra
- lợi thế
- Akamai
- Đã
- Ngoài ra
- an
- phân tích
- và
- phương pháp tiếp cận
- AS
- At
- tấn công
- Tấn công
- Các cuộc tấn công
- Châu Úc
- Tự động
- trở thành
- được
- trước
- sau
- được
- Blog
- Brazil
- xây dựng
- nhưng
- by
- Chiến dịch
- CAN
- thẻ
- Thẻ
- cơ hội
- Kiểm tra
- mã
- Tập thể
- các thành phần
- Thỏa hiệp
- Tiến hành
- thực hiện
- nước
- tạo
- Tạo
- tín dụng
- thẻ tín dụng
- Thẻ tín dụng
- Tấn công mạng
- TỘI PHẠM MẠNG
- Nguy hiểm
- dữ liệu
- phân phối
- thiết kế
- chi tiết
- ĐÃ LÀM
- khác nhau
- trực tiếp
- phân phát
- miền
- lĩnh vực
- tăng gấp đôi
- thương mại điện tử
- cuối
- đăng ký hạng mục thi
- estonia
- Ether (ETH)
- ví dụ
- Thực thi
- xa
- Tìm nạp
- Trong
- tìm thấy
- từ
- đi
- Các nhóm
- Cứng
- Có
- cao hơn
- lịch sử
- chủ nhà
- lưu trữ
- host
- http
- HTTPS
- in
- Bao gồm
- tăng
- thông tin
- Cơ sở hạ tầng
- vốn có
- chích
- thay vì
- trong
- tham gia
- IT
- ITS
- JavaScript
- jpg
- chỉ
- Loại
- nổi tiếng
- Họ
- Năm ngoái
- một lát sau
- mới nhất
- ít nhất
- hợp pháp
- niveaux
- Lượt thích
- loader
- Xem
- giống như
- LÀM CHO
- Làm
- phần mềm độc hại
- giám đốc
- nhiều
- hàng triệu
- tháng
- chi tiết
- hầu hết
- nhiều
- Mới
- Nổi bật
- con số
- số
- of
- on
- ONE
- đang diễn ra
- Trực tuyến
- mở
- mã nguồn mở
- hoạt động
- nhà điều hành
- or
- Nền tảng khác
- kết thúc
- trang
- thông số
- các bộ phận
- qua
- thanh toán
- người
- riêng
- Cá nhân
- peru
- ngoan đạo
- điểm ảnh
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- tích cực
- Bài đăng
- có khả năng
- chủ yếu
- chính
- Trước khi
- quá trình
- mua hàng
- ghi
- vẫn
- xa
- yêu cầu
- nhà nghiên cứu
- nhà nghiên cứu
- kết quả
- chạy
- s
- Nói
- tương tự
- ghi bàn
- an ninh
- hệ thống an ninh
- Tìm kiếm
- gửi
- nhạy cảm
- DỊCH VỤ
- định
- một số
- Shopify
- Mua sắm
- cho thấy
- Các trang web
- người hớt bọt
- lướt qua
- hơi khác nhau
- nhỏ
- So
- cho đến nay
- Phần mềm
- tinh vi
- nguồn
- Tây Ban Nha
- Spot
- Bắt đầu
- ăn cắp
- đơn giản
- Chuỗi
- như vậy
- hệ thống
- TAG
- Mục tiêu
- nhắm mục tiêu
- hàng chục
- việc này
- Sản phẩm
- trộm cắp
- cung cấp their dịch
- Them
- sau đó
- Kia là
- họ
- của bên thứ ba
- điều này
- hàng ngàn
- mối đe dọa
- Thông qua
- thời gian
- đến
- theo dõi
- trackers
- Theo dõi
- NIỀM TIN
- Hai lần
- điển hình
- thường
- Uk
- Dưới
- không xác định
- us
- sử dụng
- đã sử dụng
- Người sử dụng
- sử dụng
- Bằng cách sử dụng
- Lỗ hổng
- Dễ bị tổn thương
- Đường..
- cách
- web
- Website
- trang web
- khi nào
- cái nào
- CHÚNG TÔI LÀ
- sẽ
- với
- ở trong
- WordPress
- khắp thế giới
- năm
- năm
- zephyrnet
