Nhóm ngăn chặn gian lận thanh toán của Visa đang cảnh báo về một skimmer kỹ thuật số mới được phát hiện gần đây có tên là “Baka” đang đánh cắp dữ liệu thẻ thanh toán từ các trang thương mại điện tử trong khi ẩn khỏi các công cụ bảo mật.
Các nhà nghiên cứu đã phát hiện các mã độc trong khi kiểm tra cơ sở hạn tầng điều khiển và kiểm soát lệnh mà trước đó lưu trữ trình duyệt ImageID.
Mặc dù chức năng của Baka tương tự như các trình đọc lướt JavaScript khác, nhóm phát hiện gian lận của Visa phát hiện ra rằng mã độc này có thể tải động vào các trang thương mại điện tử và sau đó ẩn khỏi các thanh công cụ bảo mật bằng cách sử dụng kỹ thuật số làm xáo trộn, theo cảnh báo của Visa.
Cảnh báo đã tìm thấy skimmer Baka trong một số trang bán hàng tại nhiều khu vực trên toàn cầu, nhưng không có thêm chi tiết.
“Các thành phần hấp dẫn nhất của bộ công cụ này là trình tải và phương pháp giải mã độc đáo,” cảnh báo của Visa lưu ý. “Skimmer tải động để tránh trình quét phần mềm độc tĩnh và sử dụng các thông số mã hóa duy nhất cho từng nạn nhận để làm xáo trộn mã độc … Biến thể skimmer này tránh bị phát hiện và phân tích bằng cách tự xóa khỏi bộ nhớ khi phát hiện khả năng phân tích động bằng các công cụ của nhà phát triển hoặc khi dữ liệu đã được tách lọc thành công.”
Cách thức hoạt động của Baka
Cảnh báo của Visa không cho biết Baka được chuyển đến mạng như thế nào. Nhưng báo cáo lưu ý rằng mã độc được lưu trữ trên một số miền đáng ngờ, bao gồm: jquery-cycle[.]com, b-metric[.]com, apienclave[.]com, quicdn[.]com, apisquere[.]com, ordercheck[.]online and pridecdn[.]com.
Khi quá trình lây nhiễm ban đầu diễn ra, skimmer được tải lên thông qua máy chủ điều, nhưng mã sẽ tải trong bộ nhớ. Điều này có nghĩa rằng mẫ độc không bao giờ xuất hiện trên máy chủ của công ty thương mại điện tử đang là mục tiêu tấn công hoặc được lưu ở thiết bị khác, giúp nó tránh bị phát hiện, theo cảnh báo.
“Tải trọng lướt qua giải mã thành JavaScript được viết để giống với mã sẽ được sử dụng để hiển thị động trên các trang,” theo Visa.
Ngay khi được nhúng vào trang thanh toán của các trang web thương mại điện tử, skimmer bắt đầu thu thập dữ liệu thanh toán và dữ liệu khách hàng từ các lĩnh vực khác nhau và gửi thông tin đến máy chủ kiểm soát và ra lệnh của kẻ gian lận, Visa ghi chú.
Sau khi quá trình đọc dữ liệu hoàn tất, Baka thực hiện chức năng “dọn dẹp: để xóa mã độc khỏi trang thanh toán, theo cảnh báo. Điều này cũng giúp đảm bảo rằng JavaScript không bị ohats hiện bởi các công cụ chống mã độc.
Các nhà phân tích của Visa phát hiện ra rằng các nhà khai thác đằng sau Baka sử dụng mật mã XOR như một cách che daayus mã độc và giấu nó để không bị phát hiện, theo cảnh báo.
“Mặc dù việc sử dụng mật mã XOR không phải là mới, nhưng đây là lần đầu thiên Visa quan sát thấy việc sử dụng nó trong mã độc JavaScritp,” theo cảnh báo.
Giảm thiểu rủi ro
Cảnh báo của Visa khuyên các thương nhân buôn bán trên các trang thương mại điện tử thực hiện một số bước để giảm thiểu rủi ro của skimming, bao gồm:
- Thường xuyên kiểm tra để xác định xem có mã nào đang cố gắng giao tiếp với máy chủ điều khiển và chỉ huy hay không; Kiểm tra mã cài đặt thêm thông qua các nhà cung cấp dịch vụ; các mạng phân phối nội dung Thú Y và các bên thứ ba khác có quyền truy cập vào chức năng thanh toán;
- Cập nhật và vá bất cứ phần mềm hoặc dịch vụ nào được sử dụng trên các trang web thanh toán và xem xem thêm tường lửa;
- Hạn chế truy cập vào các cổng quản trị trực tuyến và đảm bảo rằng những người có quyền truy cập sử dụng mật khẩu mạnh.
Các cuộc tấn công bằng Skimming khác
Vào tháng 11 năm 2019, các nhà nghiên cứu của Visa đã phát hiện ra một loại skimmer khác được gọi là Pipka có khả năng tự xóa khỏi HTML của một trang web thanh toán bị xâm phạm sau khi thực thi nhiệm vụ, cho phép nó tránh bị phát hiện bảo mật (xem: JavaScript Skimmer mới được tìm thấy trên các trang web thương mại điện tử).
Các nhà nghiên cứu về bảo mật khác gần đây đã cảnh báo về các cuộc tấn công đang diễn ra nhằm vào các trang web thương mại điện tử sử dụng JavaScript độc để đánh cắp dữ liệu thẻ thanh toán.
Ví dụ, vào tháng 8, công ty bảo mật Group-IB đã cảnh báo một nhóm tội phạm có tê là “UltraRank” đang sử dụng mã độc để đọc lướt dữ liệu thẻ thanh toán và sau đó bán thông tin đó cho những người khác (xem: UltraRank Gang bán dữ liệu thẻ bị đánh cắp).
Đầu tháng này, công ty bảo mật Malwarebytes đã cảnh báo rằng một số kẻ gian lận đã bắt đầu sử dụng tin nhắn mã hóa trên Telegram để đánh cắp dữ liệu nhanh hơn ( xem: Kẻ gian sử dụng ứng dụng Telegram để đánh cắp dữ liệu thẻ thanh toán).
Nguồn Bankinfosecurity.
