Magecart là một thuật ngữ đề cập đến các nhóm tin tặc xâm nhập vào các trang web thương mại điện tử và cửa hàng trực tuyến để chèn các tập lệnh độc hại nhằm đánh cắp thông tin thẻ tín dụng và thông tin cá nhân của khách hàng trong quá trình thanh toán.

Theo các nhà nghiên cứu, chiến dịch Magecart mới lần này đã tấn công các tổ chức ở Bắc Mỹ, Mỹ Latinh và châu Âu. Đáng lưu ý, một số mục tiêu có lượng xử lý hàng trăm nghìn khách truy cập mỗi tháng, do đó có khả năng hàng chục nghìn thông tin nhận dạng cá nhân (PII) và thẻ tín dụng của người mua hàng có nguy cơ bị đánh cắp hoặc rao bán trên các diễn đàn dark web.Bên cạnh đó, Akamai cũng cho biết nhiều nạn nhân không nhận ra rằng họ đã bị xâm phạm trong hơn một tháng, đây là bằng chứng cho thấy mức độ nguy hiểm của các cuộc tấn công này.

Lạm dụng các trang web hợp pháp

Chuỗi tấn công bắt đầu bằng việc tin tặc xác định các trang web hợp pháp tồn tại nhiều điểm yếu để tấn công và lưu trữ mã độc, sau đó sử dụng các trang web này làm máy chủ C2 cho các cuộc tấn công tiếp theo. Bằng cách phân phối skimmer sử dụng các trang web hợp pháp có uy tín, tin tặc sẽ không cần phải thiết lập cơ sở hạ tầng của riêng chúng.

Tiếp theo, tin tặc chèn một đoạn mã JavaScript vào các trang web thương mại mục tiêu để tải mã độc hại từ các trang web đã bị xâm nhập trước đó. “Mặc dù không rõ làm thế nào các trang web này bị xâm phạm, nhưng dựa trên nghiên cứu gần đây của chúng tôi từ các chiến dịch tương tự trước đó, các tin tặc thường tìm kiếm các lỗ hổng trong nền tảng thương mại kỹ thuật số của các trang web được nhắm mục tiêu (chẳng hạn như Magento, WooC Commerce, WordPress, Shopify,…) hoặc trong các dịch vụ dễ bị tấn công của bên thứ ba mà trang web sử dụng”, Akamai giải thích trong một báo cáo kỹ thuật.

Để tăng khả năng lẩn tránh trong cuộc tấn công, các tin tặc đã làm xáo trộn skimmer bằng mã hóa Base64, mã hóa này cũng giúp che dấu liên kết (URL) của máy chủ lưu trữ và xây dựng cấu trúc của nó theo cách giống với Trình quản lý thẻ của Google hoặc Facebook, Pixel - những dịch vụ phổ biến của bên thứ ba khó có thể gây nghi ngờ.

Hình 1. URL bị xáo trộn của trang lưu trữ trong đoạn mã 

Làm rối mã để lẩn tránh sự tấn công

Akamai cho biết đã phát hiện hai biến thể của skimmer được sử dụng trong chiến dịch này. Phiên bản đầu tiên là phiên bản bị làm rối nhiều nhất, thể hiện mức độ lẩn tránh cao, chứa danh sách CSS selector - một thành phần của bộ quy tắc CSS, được sử dụng để xác định các phần tử bạn muốn tạo style bằng CSS, nhắm mục tiêu PII của khách hàng và chi tiết thẻ tín dụng. CSS selector khác nhau đối với từng trang web, được tùy chỉnh để phù hợp với từng nạn nhân.

Làm rối mã độc chính là một phương pháp được áp dụng rộng rãi trong số các cuộc tấn công web khác nhau và nó ngày càng trở nên phổ biến qua nhiều chiến dịch trong những năm gần đây.

Hình 2. Biến thể skimmer đầu tiên bị làm rối phức tạp

Biến thể skimmer thứ hai không sử dụng kỹ thuật làm rối phức tạp, làm lộ các dấu hiệu trong mã nguồn và điều này giúp các nhà nghiên cứu của Akamai phân tích dễ dàng hơn. Các chuyên gia của Akamai đã lập bản đồ phạm vi tiếp cận của chiến dịch và xác định các nạn nhân. Điều làm cho biến thể này trở nên đặc biệt là sự xuất hiện của một số chỉ báo nhất định trong mã; các chỉ số này đóng vai trò là manh mối có giá trị, hỗ trợ các nhà nghiên cứu xác định các trang web nạn nhân bổ sung và các trường hợp liên quan đến chiến dịch này.

Hình 3. Một phần mã nguồn của biến thể skimmer thứ hai

Lọc dữ liệu bị đánh cắp

Sau khi skimmer đánh cắp thông tin chi tiết của khách hàng, dữ liệu được đặt tới máy chủ của tin tặc thông qua phương thức HTTP request được tạo dưới dạng thẻ IMG trong skimmer, đây là quá trình lọc dữ liệu. Dữ liệu bị đánh cắp sau đó được thêm vào yêu cầu dưới dạng tham số truy vấn, được mã hóa dưới dạng chuỗi Base64.

Hình 4. Trích xuất dữ liệu bị đánh cắp bằng thẻ IMG 

Để làm xáo trộn dữ liệu được truyền, skimmer mã hóa nó dưới dạng chuỗi Base64. Kỹ thuật mã hóa này cung cấp một lớp ngụy trang, khiến các hệ thống bảo mật và công cụ giám sát mạng gặp khó khăn hơn trong việc xác định thông tin nhạy cảm đang bị đánh cắp. Sau khi dữ liệu được mã hóa Base64 đến máy chủ của tin tặc, nó có thể dễ dàng được giải mã về định dạng ban đầu, làm lộ thông tin PII và chi tiết thẻ tín dụng bị đánh cắp.

Hình 5. Lọc dữ liệu bằng cách sử dụng thẻ IMG, khởi tạo HTTP request tới C2 của skimmer với các tham số truy vấn được mã hóa Base64

Quá trình lọc sẽ chỉ diễn ra một lần đối với mỗi người dùng thực hiện quy trình thanh toán. Sau khi thông tin của người dùng bị đánh cắp, tập lệnh sẽ gắn cờ trình duyệt để đảm bảo trình duyệt không đánh cắp thông tin hai lần (để giảm lưu lượng truy cập mạng đáng ngờ). Điều này càng làm tăng khả năng né tránh của cuộc tấn công kiểu Magecart này.

Khuyến nghị và biện pháp giảm thiểu bảo mật

Để cài đặt một skimmer trên web, tin tặc sẽ cần có quyền truy cập ban đầu vào máy chủ bằng cách khai thác lỗ hổng bảo mật hoặc bằng cách lạm dụng một trong các tập lệnh của bên thứ ba hiện có. Do đó, các tổ chức nên cập nhật các bản vá bảo mật mới cho CMS và plugin của họ, bên cạnh đó có thể triển khai bổ sung giải pháp Tường lửa ứng dụng web (WAF) để phòng chống tấn công.

Các công cụ phân tích tĩnh truyền thống tỏ ra không hiệu quả trong việc chống lại các mối đe dọa, vì các tin tặc liên tục sửa đổi phương pháp của mình và sử dụng các kỹ thuật ngày càng phức tạp có thể trốn tránh phân tích tĩnh. Do đó, các tổ chức cũng cần kết hợp các công cụ và công nghệ bảo mật nhằm cung cấp các khả năng phát hiện hành vi bất thường, trong đó tích hợp máy học để phát hiện những trường hợp tấn công mới.