Trong số những trang bị nhiễm có các trang web có trụ sở tại Hoa Kỳ bán thiết bị nha khoa, hàng hóa trẻ em và xe đạp leo núi. Các nhà nghiên cứu của Netlab 360 đã tìm thấy tổng cộng 105 trang web thực thi JavaScript đọc dữ liệu thẻ được lưu trữ trên máy chủ có địa chỉ magento-analytics [.] com. Mặc dù, khi truy vấn tên miền trả về lỗi 403 cho các trình duyệt, thì một loạt các URL của magento-analytics [.] com chứa mã lệnh được thiết kế để trích xuất tên, số thẻ, ngày hết hạn và CVV của thẻ thanh toán được sử dụng để mua hàng.
Một trong những trang bị nhiễm được xác định bởi Netlab 360 là ilybean [.] com, đây là doanh nghiệp ở Orlando, Florida, chuyên bán đồ dùng cho trẻ em. Ảnh chụp màn hình cho thấy trang web này thực thi JavaScript được lưu trữ tại magento-analytics [.] com.
Một phần của mã lệnh JavaScript được đặt tại https:// magento-analytics [.] com / 5c3b53f75a8cb.js (hiển thị một phần ở phía bên phải hình trên). Mặc dù khó có thể phân tích đầy đủ cú pháp,nhưng có thể thấy các tên biến dễ hiểu như verisign_cc_number, shipping:firstname, shipping:lastname, verisign_expiration, verisign_expiration_yr, and verisign_cc_cid. Các hàm cho thấy đoạn mã thu thập dữ liệu thẻ thanh toán và chuyển thành dạng base64 để truyền đi.
Theo ông Jérôme Segura, người đứng đầu bộ phận nghiên cứu các nguy cơ của công ty bảo mật Malwarebytes, đây không phải là một chiến dịch tấn công mới vì tên miền đó đã tồn tại trong nhiều tháng. Tuy nhiên, đây là một trong những đợt tấn công mạnh mẽ nhất. Theo thống kê, trung bình mỗi ngày Malwarebytes chặn khoảng 100 kết nối đến tên miền này từ những người dùng truy cập vào các cửa hàng trực tuyến đã bị hack.
Segura chỉ vào một truy vấn tìm kiếm (https://urlscan.io/search/#domain%3Amagento-analytics [.] com), cho thấy 203 trang web đã bị ảnh hưởng. Dường như một số trang web trong số đó không còn thực thi mã được lưu trữ trên magento-analytics [.] com, rất có thể là do chúng đã được loại bỏ đoạn JavaScript độc hại sau khi bị phát hiện.
Có ít nhất 6 trang web thuộc danh sách 1 triệu trang web thương mại điện tử hàng đầu của Alexa nằm trong danh sách các trang nhiễm độc mà Netlab 360 báo cáo. Đó là: mitsosa[.]com; alkoholeswiata[.]com; spieltraum-shop[.]de; ilybean[.]com; mtbsale[.]com và ucc-bd[.]com.
Kể từ khi British Airways, Newegg và 7 web thương mại khác với hơn 500 ngàn người truy cập mỗi tháng bị nhiễm độc, thì đây được goi là đợt tấn công bùng nổ mới kể từ cuối năm 2018. Có trường hợp một trang web bị nhiễm hai loại mã độc của hai nhóm tội phạm cạnh tranh với nhau. Xu hướng này vẫn đang tiếp diễn mạnh trong khoảng 2 tháng gần đây.
Các bản ghi lịch sử IP và whois cho thấy tên miền magento-analytics[.]com không liên quan đến Magento. Tin tặc có thể đã chọn tên miền này để đánh lừa những người quản trị của các trang thương mại điện tử.
Người dùng rất khó biết được liệu trang thương mại điện tử mà họ truy cập có bị nhiễm mã độc hay không. Malwarebytes và nhiều ứng dụng bảo mật đầu cuối khác có thể chặn được những chiến dịch tấn công phổ biến nhưng trước những đợt tấn công mới xuất hiện liên tục, người dùng cần phải cảnh giác, không nên nghĩ rằng các phần mềm bảo mật có thể đảm bảo an toàn 100%. Vì vậy, tốt nhất là không bao giờ dùng thẻ ghi nợ để thực hiện thanh toán trực tuyến. Chủ thẻ tín dụng nên kiểm tra sao kê hàng tháng để phát hiện các giao dịch gian lận. Ngoài ra, người dùng có thể sử dụng những loại thẻ tạm với hạn mức thấp.
Nguyễn Anh Tuấn
Theo Ars Technica
09:00 | 15/10/2019
16:00 | 23/04/2021
08:00 | 19/11/2019
09:00 | 26/07/2019
14:00 | 05/08/2019
09:00 | 25/05/2022
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024