Magecart là một thuật ngữ đề cập đến các nhóm tin tặc xâm nhập vào các trang web thương mại điện tử và cửa hàng trực tuyến để chèn các tập lệnh độc hại nhằm đánh cắp thông tin thẻ tín dụng và thông tin cá nhân của khách hàng trong quá trình thanh toán.
Theo các nhà nghiên cứu, chiến dịch Magecart mới lần này đã tấn công các tổ chức ở Bắc Mỹ, Mỹ Latinh và châu Âu. Đáng lưu ý, một số mục tiêu có lượng xử lý hàng trăm nghìn khách truy cập mỗi tháng, do đó có khả năng hàng chục nghìn thông tin nhận dạng cá nhân (PII) và thẻ tín dụng của người mua hàng có nguy cơ bị đánh cắp hoặc rao bán trên các diễn đàn dark web.Bên cạnh đó, Akamai cũng cho biết nhiều nạn nhân không nhận ra rằng họ đã bị xâm phạm trong hơn một tháng, đây là bằng chứng cho thấy mức độ nguy hiểm của các cuộc tấn công này.
Chuỗi tấn công bắt đầu bằng việc tin tặc xác định các trang web hợp pháp tồn tại nhiều điểm yếu để tấn công và lưu trữ mã độc, sau đó sử dụng các trang web này làm máy chủ C2 cho các cuộc tấn công tiếp theo. Bằng cách phân phối skimmer sử dụng các trang web hợp pháp có uy tín, tin tặc sẽ không cần phải thiết lập cơ sở hạ tầng của riêng chúng.
Tiếp theo, tin tặc chèn một đoạn mã JavaScript vào các trang web thương mại mục tiêu để tải mã độc hại từ các trang web đã bị xâm nhập trước đó. “Mặc dù không rõ làm thế nào các trang web này bị xâm phạm, nhưng dựa trên nghiên cứu gần đây của chúng tôi từ các chiến dịch tương tự trước đó, các tin tặc thường tìm kiếm các lỗ hổng trong nền tảng thương mại kỹ thuật số của các trang web được nhắm mục tiêu (chẳng hạn như Magento, WooC Commerce, WordPress, Shopify,…) hoặc trong các dịch vụ dễ bị tấn công của bên thứ ba mà trang web sử dụng”, Akamai giải thích trong một báo cáo kỹ thuật.
Để tăng khả năng lẩn tránh trong cuộc tấn công, các tin tặc đã làm xáo trộn skimmer bằng mã hóa Base64, mã hóa này cũng giúp che dấu liên kết (URL) của máy chủ lưu trữ và xây dựng cấu trúc của nó theo cách giống với Trình quản lý thẻ của Google hoặc Facebook, Pixel - những dịch vụ phổ biến của bên thứ ba khó có thể gây nghi ngờ.
Hình 1. URL bị xáo trộn của trang lưu trữ trong đoạn mã
Akamai cho biết đã phát hiện hai biến thể của skimmer được sử dụng trong chiến dịch này. Phiên bản đầu tiên là phiên bản bị làm rối nhiều nhất, thể hiện mức độ lẩn tránh cao, chứa danh sách CSS selector - một thành phần của bộ quy tắc CSS, được sử dụng để xác định các phần tử bạn muốn tạo style bằng CSS, nhắm mục tiêu PII của khách hàng và chi tiết thẻ tín dụng. CSS selector khác nhau đối với từng trang web, được tùy chỉnh để phù hợp với từng nạn nhân.
Làm rối mã độc chính là một phương pháp được áp dụng rộng rãi trong số các cuộc tấn công web khác nhau và nó ngày càng trở nên phổ biến qua nhiều chiến dịch trong những năm gần đây.
Hình 2. Biến thể skimmer đầu tiên bị làm rối phức tạp
Biến thể skimmer thứ hai không sử dụng kỹ thuật làm rối phức tạp, làm lộ các dấu hiệu trong mã nguồn và điều này giúp các nhà nghiên cứu của Akamai phân tích dễ dàng hơn. Các chuyên gia của Akamai đã lập bản đồ phạm vi tiếp cận của chiến dịch và xác định các nạn nhân. Điều làm cho biến thể này trở nên đặc biệt là sự xuất hiện của một số chỉ báo nhất định trong mã; các chỉ số này đóng vai trò là manh mối có giá trị, hỗ trợ các nhà nghiên cứu xác định các trang web nạn nhân bổ sung và các trường hợp liên quan đến chiến dịch này.
Hình 3. Một phần mã nguồn của biến thể skimmer thứ hai
Sau khi skimmer đánh cắp thông tin chi tiết của khách hàng, dữ liệu được đặt tới máy chủ của tin tặc thông qua phương thức HTTP request được tạo dưới dạng thẻ IMG trong skimmer, đây là quá trình lọc dữ liệu. Dữ liệu bị đánh cắp sau đó được thêm vào yêu cầu dưới dạng tham số truy vấn, được mã hóa dưới dạng chuỗi Base64.
Hình 4. Trích xuất dữ liệu bị đánh cắp bằng thẻ IMG
Để làm xáo trộn dữ liệu được truyền, skimmer mã hóa nó dưới dạng chuỗi Base64. Kỹ thuật mã hóa này cung cấp một lớp ngụy trang, khiến các hệ thống bảo mật và công cụ giám sát mạng gặp khó khăn hơn trong việc xác định thông tin nhạy cảm đang bị đánh cắp. Sau khi dữ liệu được mã hóa Base64 đến máy chủ của tin tặc, nó có thể dễ dàng được giải mã về định dạng ban đầu, làm lộ thông tin PII và chi tiết thẻ tín dụng bị đánh cắp.
Hình 5. Lọc dữ liệu bằng cách sử dụng thẻ IMG, khởi tạo HTTP request tới C2 của skimmer với các tham số truy vấn được mã hóa Base64
Quá trình lọc sẽ chỉ diễn ra một lần đối với mỗi người dùng thực hiện quy trình thanh toán. Sau khi thông tin của người dùng bị đánh cắp, tập lệnh sẽ gắn cờ trình duyệt để đảm bảo trình duyệt không đánh cắp thông tin hai lần (để giảm lưu lượng truy cập mạng đáng ngờ). Điều này càng làm tăng khả năng né tránh của cuộc tấn công kiểu Magecart này.
Để cài đặt một skimmer trên web, tin tặc sẽ cần có quyền truy cập ban đầu vào máy chủ bằng cách khai thác lỗ hổng bảo mật hoặc bằng cách lạm dụng một trong các tập lệnh của bên thứ ba hiện có. Do đó, các tổ chức nên cập nhật các bản vá bảo mật mới cho CMS và plugin của họ, bên cạnh đó có thể triển khai bổ sung giải pháp Tường lửa ứng dụng web (WAF) để phòng chống tấn công.
Các công cụ phân tích tĩnh truyền thống tỏ ra không hiệu quả trong việc chống lại các mối đe dọa, vì các tin tặc liên tục sửa đổi phương pháp của mình và sử dụng các kỹ thuật ngày càng phức tạp có thể trốn tránh phân tích tĩnh. Do đó, các tổ chức cũng cần kết hợp các công cụ và công nghệ bảo mật nhằm cung cấp các khả năng phát hiện hành vi bất thường, trong đó tích hợp máy học để phát hiện những trường hợp tấn công mới.
Hồng Đạt
(tổng hợp)
09:00 | 06/06/2023
10:00 | 18/01/2023
14:00 | 06/01/2023
10:00 | 02/06/2023
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
