Trong số những trang bị nhiễm có các trang web có trụ sở tại Hoa Kỳ bán thiết bị nha khoa, hàng hóa trẻ em và xe đạp leo núi. Các nhà nghiên cứu của Netlab 360 đã tìm thấy tổng cộng 105 trang web thực thi JavaScript đọc dữ liệu thẻ được lưu trữ trên máy chủ có địa chỉ magento-analytics [.] com. Mặc dù, khi truy vấn tên miền trả về lỗi 403 cho các trình duyệt, thì một loạt các URL của magento-analytics [.] com chứa mã lệnh được thiết kế để trích xuất tên, số thẻ, ngày hết hạn và CVV của thẻ thanh toán được sử dụng để mua hàng.
Một trong những trang bị nhiễm được xác định bởi Netlab 360 là ilybean [.] com, đây là doanh nghiệp ở Orlando, Florida, chuyên bán đồ dùng cho trẻ em. Ảnh chụp màn hình cho thấy trang web này thực thi JavaScript được lưu trữ tại magento-analytics [.] com.
Một phần của mã lệnh JavaScript được đặt tại https:// magento-analytics [.] com / 5c3b53f75a8cb.js (hiển thị một phần ở phía bên phải hình trên). Mặc dù khó có thể phân tích đầy đủ cú pháp,nhưng có thể thấy các tên biến dễ hiểu như verisign_cc_number, shipping:firstname, shipping:lastname, verisign_expiration, verisign_expiration_yr, and verisign_cc_cid. Các hàm cho thấy đoạn mã thu thập dữ liệu thẻ thanh toán và chuyển thành dạng base64 để truyền đi.
Theo ông Jérôme Segura, người đứng đầu bộ phận nghiên cứu các nguy cơ của công ty bảo mật Malwarebytes, đây không phải là một chiến dịch tấn công mới vì tên miền đó đã tồn tại trong nhiều tháng. Tuy nhiên, đây là một trong những đợt tấn công mạnh mẽ nhất. Theo thống kê, trung bình mỗi ngày Malwarebytes chặn khoảng 100 kết nối đến tên miền này từ những người dùng truy cập vào các cửa hàng trực tuyến đã bị hack.
Segura chỉ vào một truy vấn tìm kiếm (https://urlscan.io/search/#domain%3Amagento-analytics [.] com), cho thấy 203 trang web đã bị ảnh hưởng. Dường như một số trang web trong số đó không còn thực thi mã được lưu trữ trên magento-analytics [.] com, rất có thể là do chúng đã được loại bỏ đoạn JavaScript độc hại sau khi bị phát hiện.
Có ít nhất 6 trang web thuộc danh sách 1 triệu trang web thương mại điện tử hàng đầu của Alexa nằm trong danh sách các trang nhiễm độc mà Netlab 360 báo cáo. Đó là: mitsosa[.]com; alkoholeswiata[.]com; spieltraum-shop[.]de; ilybean[.]com; mtbsale[.]com và ucc-bd[.]com.
Kể từ khi British Airways, Newegg và 7 web thương mại khác với hơn 500 ngàn người truy cập mỗi tháng bị nhiễm độc, thì đây được goi là đợt tấn công bùng nổ mới kể từ cuối năm 2018. Có trường hợp một trang web bị nhiễm hai loại mã độc của hai nhóm tội phạm cạnh tranh với nhau. Xu hướng này vẫn đang tiếp diễn mạnh trong khoảng 2 tháng gần đây.
Các bản ghi lịch sử IP và whois cho thấy tên miền magento-analytics[.]com không liên quan đến Magento. Tin tặc có thể đã chọn tên miền này để đánh lừa những người quản trị của các trang thương mại điện tử.
Người dùng rất khó biết được liệu trang thương mại điện tử mà họ truy cập có bị nhiễm mã độc hay không. Malwarebytes và nhiều ứng dụng bảo mật đầu cuối khác có thể chặn được những chiến dịch tấn công phổ biến nhưng trước những đợt tấn công mới xuất hiện liên tục, người dùng cần phải cảnh giác, không nên nghĩ rằng các phần mềm bảo mật có thể đảm bảo an toàn 100%. Vì vậy, tốt nhất là không bao giờ dùng thẻ ghi nợ để thực hiện thanh toán trực tuyến. Chủ thẻ tín dụng nên kiểm tra sao kê hàng tháng để phát hiện các giao dịch gian lận. Ngoài ra, người dùng có thể sử dụng những loại thẻ tạm với hạn mức thấp.
Nguyễn Anh Tuấn
Theo Ars Technica
09:00 | 15/10/2019
16:00 | 23/04/2021
08:00 | 19/11/2019
09:00 | 26/07/2019
14:00 | 05/08/2019
09:00 | 25/05/2022
14:00 | 20/03/2025
Công ty an ninh mạng Tarlogic (Tây Ban Nha) cho biết đã phát hiện một lệnh ẩn được mã hóa trong chip ESP32 do Espressif (Trung Quốc) sản xuất, có nguy cơ bị tin tặc khai thác bằng cách mạo danh một thiết bị đáng tin cậy và truy cập thông tin được lưu trữ. Qua đó, tin tặc có thể do thám người dùng hoặc thực hiện các hành động mờ ám khác.
10:00 | 03/03/2025
Theo Christiaan Beek, Giám đốc phân tích nguy cơ cấp cao của hãng bảo mật Rapid7 (Hoa Kỳ), 2024 là năm của các cuộc tấn công liên tiếp. Báo cáo của hãng cho thấy, số lượng các vụ tấn công từ những băng nhóm mã độc tống tiền tăng mạnh vào năm ngoái với số tiền chuộc có thể lên tới 380 triệu USD. Trung bình tiền chuộc của mỗi vụ là 200.000 USD.
10:00 | 06/02/2025
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
09:00 | 03/02/2025
Mã độc tống tiền (Ransomware) là một loại mã độc mã hóa, được xem là mối đe dọa mạng nguy hiểm nhất. Nó được phát triển với mục đích mã hóa dữ liệu và nạn nhân phải trả một số tiền nhất định để lấy lại dữ liệu hoặc ngăn dữ liệu của mình không bị rao bán trên mạng. Trong bài báo này sẽ giới thiệu lịch sử phát triển của ransomware cũng như thực trạng hiện tại của ransomware và các kỹ thuật được sử dụng để từ đó đưa ra các biện pháp giảm thiểu nguy cơ.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
