Trong số những trang bị nhiễm có các trang web có trụ sở tại Hoa Kỳ bán thiết bị nha khoa, hàng hóa trẻ em và xe đạp leo núi. Các nhà nghiên cứu của Netlab 360 đã tìm thấy tổng cộng 105 trang web thực thi JavaScript đọc dữ liệu thẻ được lưu trữ trên máy chủ có địa chỉ magento-analytics [.] com. Mặc dù, khi truy vấn tên miền trả về lỗi 403 cho các trình duyệt, thì một loạt các URL của magento-analytics [.] com chứa mã lệnh được thiết kế để trích xuất tên, số thẻ, ngày hết hạn và CVV của thẻ thanh toán được sử dụng để mua hàng.
Một trong những trang bị nhiễm được xác định bởi Netlab 360 là ilybean [.] com, đây là doanh nghiệp ở Orlando, Florida, chuyên bán đồ dùng cho trẻ em. Ảnh chụp màn hình cho thấy trang web này thực thi JavaScript được lưu trữ tại magento-analytics [.] com.
Một phần của mã lệnh JavaScript được đặt tại https:// magento-analytics [.] com / 5c3b53f75a8cb.js (hiển thị một phần ở phía bên phải hình trên). Mặc dù khó có thể phân tích đầy đủ cú pháp,nhưng có thể thấy các tên biến dễ hiểu như verisign_cc_number, shipping:firstname, shipping:lastname, verisign_expiration, verisign_expiration_yr, and verisign_cc_cid. Các hàm cho thấy đoạn mã thu thập dữ liệu thẻ thanh toán và chuyển thành dạng base64 để truyền đi.
Theo ông Jérôme Segura, người đứng đầu bộ phận nghiên cứu các nguy cơ của công ty bảo mật Malwarebytes, đây không phải là một chiến dịch tấn công mới vì tên miền đó đã tồn tại trong nhiều tháng. Tuy nhiên, đây là một trong những đợt tấn công mạnh mẽ nhất. Theo thống kê, trung bình mỗi ngày Malwarebytes chặn khoảng 100 kết nối đến tên miền này từ những người dùng truy cập vào các cửa hàng trực tuyến đã bị hack.
Segura chỉ vào một truy vấn tìm kiếm (https://urlscan.io/search/#domain%3Amagento-analytics [.] com), cho thấy 203 trang web đã bị ảnh hưởng. Dường như một số trang web trong số đó không còn thực thi mã được lưu trữ trên magento-analytics [.] com, rất có thể là do chúng đã được loại bỏ đoạn JavaScript độc hại sau khi bị phát hiện.
Có ít nhất 6 trang web thuộc danh sách 1 triệu trang web thương mại điện tử hàng đầu của Alexa nằm trong danh sách các trang nhiễm độc mà Netlab 360 báo cáo. Đó là: mitsosa[.]com; alkoholeswiata[.]com; spieltraum-shop[.]de; ilybean[.]com; mtbsale[.]com và ucc-bd[.]com.
Kể từ khi British Airways, Newegg và 7 web thương mại khác với hơn 500 ngàn người truy cập mỗi tháng bị nhiễm độc, thì đây được goi là đợt tấn công bùng nổ mới kể từ cuối năm 2018. Có trường hợp một trang web bị nhiễm hai loại mã độc của hai nhóm tội phạm cạnh tranh với nhau. Xu hướng này vẫn đang tiếp diễn mạnh trong khoảng 2 tháng gần đây.
Các bản ghi lịch sử IP và whois cho thấy tên miền magento-analytics[.]com không liên quan đến Magento. Tin tặc có thể đã chọn tên miền này để đánh lừa những người quản trị của các trang thương mại điện tử.
Người dùng rất khó biết được liệu trang thương mại điện tử mà họ truy cập có bị nhiễm mã độc hay không. Malwarebytes và nhiều ứng dụng bảo mật đầu cuối khác có thể chặn được những chiến dịch tấn công phổ biến nhưng trước những đợt tấn công mới xuất hiện liên tục, người dùng cần phải cảnh giác, không nên nghĩ rằng các phần mềm bảo mật có thể đảm bảo an toàn 100%. Vì vậy, tốt nhất là không bao giờ dùng thẻ ghi nợ để thực hiện thanh toán trực tuyến. Chủ thẻ tín dụng nên kiểm tra sao kê hàng tháng để phát hiện các giao dịch gian lận. Ngoài ra, người dùng có thể sử dụng những loại thẻ tạm với hạn mức thấp.
Nguyễn Anh Tuấn
Theo Ars Technica
09:00 | 15/10/2019
16:00 | 23/04/2021
08:00 | 19/11/2019
09:00 | 26/07/2019
14:00 | 05/08/2019
09:00 | 25/05/2022
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024