Chiến dịch mã độc theo thẻ làm tổn hại hàng chục trang web mỗi ngày

Hơn 7.000 trang web thương mại điện tử trong 6 tháng qua đã bị nhiễm mã độc JavaScript được thiết kế để thu thập chi tiết thẻ thanh toán của khách hàng khi họ hoàn tất đơn đặt hàng của họ.

Vì vậy Willem de Groot – một nhà tư vấn  và nghiên cứu bảo mật có trụ sở tại Hà Lan cảnh báo rằng phần mềm đánh cắp dữ liệu thẻ trực tuyến giao tiếp với một domain được đặt tại Nga là magetocore[dot]net, được sử dụng để lây nhiễm từ 50 – 60 trang thương mại điện tử mỗi ngày.

“Các công ty giao dịch công khai danh sách nạn nhân bị đánh cắp hàng triệu đô la, cho thấy những kẻ sử dụng mã độc đã tạo ra một vụ đánh cắp ngon nghẻ”. De Groot viết trong một bài đăng trên blog, lưu ý rằng mã độc được thiết kế để làm việc với phần mềm thương mại điện tử Mageto một cách hợp pháp. “Những nạn nhân thực sự cuối cùng là những khách hàng có thẻ và danh tính của họ bị đánh cắp.”

Magento, được Adobe System thông báo kế hoạch mua lại vào tháng năm, là một trong những nền tảng thương mại điện tử được sử dụng rộng rãi nhất. Vì vậy, không mấy ngạc nhiên khi phần mềm tự nhiên đã trở thành mục tiêu ưa chuộng của những kẻ đánh cắp thẻ thanh toán, những kẻ phạm tội đã nắm bắt cấu hình đôi khi không an toàn của người dùng hoặc sử dụng các cuộc tấn công brute-force để dành quyền truy cập phần mềm đã được triển khai.

Ngành công nghiệp thẻ thanh toán vẫn đang chiến đấu để ngăn chặn bọn tội phạm đánh cắp thông tin thẻ trong quá trình khách hàng quẹt thẻ và sử dụng lại các chi tiết thẻ trong các chương trình gian lận. Một cách sử dụng chi tiết thẻ trong giao dịch thẻ trực tuyến không có sự hiện diện vật lý của thẻ. Ví dụ tại Úc, đã thấy gian lận thẻ không hiện diện tăng 14% trong khoảng thời gian 1 năm. (Xem Australia Battles Fraudulent Online Purchases).

Trong khi mục tiêu chính của tội phạm thường xuất hiện để đánh cắp dữ liệu thẻ thanh toán, dữ liệu cá nhận của người mua sắm cũng sẽ bị đánh cắp. Điều đó cho thấy ý nghĩa của việc tuân thủ Quy định bảo vệ dữ liệu chung, chế độ bảo vệ dữ liệu chặt chẽ của Châu Âu, Peeter Marvet of Zone.ee – nhà cung cấp dịch vụ lưu trữ Estonia viết trong một bài đăng trên blog (xem Under GDPR, Data Breach Report in UK Have Quadrupled)

Thay thế mã độc …. bằng…. mã độc

Bất cứ ai đứng sau chiến dịch magentocore thì họ đã có một chiến dịch hiệu quả. De Groot nói.

Dựa trên việc scan internet, de Groot đã tìm thấy 7.339 cửa hàng trực tuyến bị tấn công trong 6 tháng qua. Và từ năm 2015, de Groot đã tính được ít nhất 20.000 trang web bị nhiễm mã độc Javascript ít nhất một lần.

Mã độc JavaScript tìm kiếm chẳng hạn như tên người dùng cụ thể  và thay thế mật khẩu của họ bằng “how1are2you3” (Nguồn: Willen de Groot).

Các trang web không nhất thiết phải bắt kịp nhanh chóng sau khi bị nhiễm mã độc. “Thời gian phục hồi trung bình là vài tuần, nhưng có ít nhất 1.450 cửa hàng đã lưu trữ ký sinh trùng magentocore[dot]nettrong suốt 6 tháng qua,” de Groot viết.

“Những kẻ tấn công rất thông minh: Mã của chúng có thể loại bỏ mã độc khác đã có trong bản cài đặt Magento và cũng được thiết kế để ấn dấu vết của nó. Mã độc thực hiện điều đó thông qua một cửa sau bao gồm trong một tập tin cron.php được cài đặt bởi những kẻ tấn công định kỳ tải về mã độc và sau khi chạy xóa chính nó”, do đó không còn dấu vết, ông viết.

Mã này cũng thay thế mật khẩu người dùng đã đăng ký với Magento thành “how1you2are3”, de Groot viết.

Cách phòng chống

Để chống lại các chiến dịch này, de Groot cho biết có một số phương pháp tốt nhất mà người dùng Magento nên theo dõi và ông lưu ý rằng những công cụ bảo mật miễn phí có thể phát hiện ra việc nhiễm mã độc này. Nhật ký truy cập cũng sẽ ghi lại hoạt động bất thường bao gồm hoạt động sau giờ làm việc mà các nhóm bảo mật có thể sử dụng để phát hiện ra ổ dịch.

“Nếu có một hoạt động đáng ngờ được ghi lại từ IP của nhân viên, có thể máy tính cá nhân của nhân viên bị nhiễm mã độc hoặc kẻ tấn công đã chiếm đoạt phiên bản được ủy quyền” ông viết.

Khi điểm truy cập bị đóng, các quản trị viên cần phải tìm nơi mà mã cơ sở Magento đã bị thay đổi. Quá trình đó có thể phức tạo và de Groot viết rằng nếu không tìm thấy tất cả các backdoor, thì mã độc có thể ẩn trong HTML hoặc JavaScript vô hại, “bạn có thể bắt đầu lại sau vài tuần” sau khi những kẻ tấn công quay lại và bắt đầu từ điểm khi chúng rời đi.

Tốt nhất là phá hủy cài đặt bị lây nhiễm và khởi động lại. “Hoàn nguyên một bản sao được chứng nhận an toàn cuả codebase nếu có thể.” De Groot viết. Ông đã xuất bản một trình quét mã độc có mã nguồn mở cho Magento trên GitHub.

Một công cụ quét miễn phí khác, MageReport, được điều hành bởi Byte nhà cung cấp dịch vụ CNTT Hà Lan. MageReport sử dụng chức năng quét thụ động để phát hiện sự cố đó, nó không thể thấy các vần đề sự cố trên chính máy chủ. MageReport cảnh báo rằng có thể có các kết quả sai hoặc phủ định do sự khác biệt giữa các cài đặt Magento vì vậy nó chỉ nên sử dụng như một hướng dẫn.

Tháng 10 năm ngoái, Magento tung ra công cụ quét bảo mật của riêng mình, kiểm tra các mức vá và các vấn đề về cấu hình và liệu có thực hiện các biện pháp bảo mật tốt nhất không. Công cụ chạy trên Magento Commerce, trước đây đã được đặt tên là phiên bản doanh nghiệp và Magento Open Source trước đây được gọi là phiên bản cộng đồng.

Theo Bankinfosecurity.

Tin khác