Trong số những trang bị nhiễm có các trang web có trụ sở tại Hoa Kỳ bán thiết bị nha khoa, hàng hóa trẻ em và xe đạp leo núi. Các nhà nghiên cứu của Netlab 360 đã tìm thấy tổng cộng 105 trang web thực thi JavaScript đọc dữ liệu thẻ được lưu trữ trên máy chủ có địa chỉ magento-analytics [.] com. Mặc dù, khi truy vấn tên miền trả về lỗi 403 cho các trình duyệt, thì một loạt các URL của magento-analytics [.] com chứa mã lệnh được thiết kế để trích xuất tên, số thẻ, ngày hết hạn và CVV của thẻ thanh toán được sử dụng để mua hàng.
Một trong những trang bị nhiễm được xác định bởi Netlab 360 là ilybean [.] com, đây là doanh nghiệp ở Orlando, Florida, chuyên bán đồ dùng cho trẻ em. Ảnh chụp màn hình cho thấy trang web này thực thi JavaScript được lưu trữ tại magento-analytics [.] com.
Một phần của mã lệnh JavaScript được đặt tại https:// magento-analytics [.] com / 5c3b53f75a8cb.js (hiển thị một phần ở phía bên phải hình trên). Mặc dù khó có thể phân tích đầy đủ cú pháp,nhưng có thể thấy các tên biến dễ hiểu như verisign_cc_number, shipping:firstname, shipping:lastname, verisign_expiration, verisign_expiration_yr, and verisign_cc_cid. Các hàm cho thấy đoạn mã thu thập dữ liệu thẻ thanh toán và chuyển thành dạng base64 để truyền đi.
Theo ông Jérôme Segura, người đứng đầu bộ phận nghiên cứu các nguy cơ của công ty bảo mật Malwarebytes, đây không phải là một chiến dịch tấn công mới vì tên miền đó đã tồn tại trong nhiều tháng. Tuy nhiên, đây là một trong những đợt tấn công mạnh mẽ nhất. Theo thống kê, trung bình mỗi ngày Malwarebytes chặn khoảng 100 kết nối đến tên miền này từ những người dùng truy cập vào các cửa hàng trực tuyến đã bị hack.
Segura chỉ vào một truy vấn tìm kiếm (https://urlscan.io/search/#domain%3Amagento-analytics [.] com), cho thấy 203 trang web đã bị ảnh hưởng. Dường như một số trang web trong số đó không còn thực thi mã được lưu trữ trên magento-analytics [.] com, rất có thể là do chúng đã được loại bỏ đoạn JavaScript độc hại sau khi bị phát hiện.
Có ít nhất 6 trang web thuộc danh sách 1 triệu trang web thương mại điện tử hàng đầu của Alexa nằm trong danh sách các trang nhiễm độc mà Netlab 360 báo cáo. Đó là: mitsosa[.]com; alkoholeswiata[.]com; spieltraum-shop[.]de; ilybean[.]com; mtbsale[.]com và ucc-bd[.]com.
Kể từ khi British Airways, Newegg và 7 web thương mại khác với hơn 500 ngàn người truy cập mỗi tháng bị nhiễm độc, thì đây được goi là đợt tấn công bùng nổ mới kể từ cuối năm 2018. Có trường hợp một trang web bị nhiễm hai loại mã độc của hai nhóm tội phạm cạnh tranh với nhau. Xu hướng này vẫn đang tiếp diễn mạnh trong khoảng 2 tháng gần đây.
Các bản ghi lịch sử IP và whois cho thấy tên miền magento-analytics[.]com không liên quan đến Magento. Tin tặc có thể đã chọn tên miền này để đánh lừa những người quản trị của các trang thương mại điện tử.
Người dùng rất khó biết được liệu trang thương mại điện tử mà họ truy cập có bị nhiễm mã độc hay không. Malwarebytes và nhiều ứng dụng bảo mật đầu cuối khác có thể chặn được những chiến dịch tấn công phổ biến nhưng trước những đợt tấn công mới xuất hiện liên tục, người dùng cần phải cảnh giác, không nên nghĩ rằng các phần mềm bảo mật có thể đảm bảo an toàn 100%. Vì vậy, tốt nhất là không bao giờ dùng thẻ ghi nợ để thực hiện thanh toán trực tuyến. Chủ thẻ tín dụng nên kiểm tra sao kê hàng tháng để phát hiện các giao dịch gian lận. Ngoài ra, người dùng có thể sử dụng những loại thẻ tạm với hạn mức thấp.
Nguyễn Anh Tuấn
Theo Ars Technica
09:00 | 15/10/2019
16:00 | 23/04/2021
08:00 | 19/11/2019
09:00 | 26/07/2019
14:00 | 05/08/2019
09:00 | 25/05/2022
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024