Chiến dịch này được thực hiện bởi nhóm tin tặc Magecart Group 7 - đây là một nhóm nhỏ của nhóm tin tặc Magecart. Tính tới nay, chiến dịch này đã xâm nhập thành công ít nhất 19 trang web thương mại điện tử khác nhau để đánh cắp thông tin chi tiết về thẻ thanh toán của khách hàng.
Các cuộc tấn công của tin tặc Magecart thường liên quan đến việc xâm nhập cửa hàng trực tuyến để đánh cắp số thẻ tín dụng và chi tiết tài khoản của người mua hàng trên trang web bị tấn công, bằng cách đặt các skimmers JavaScript độc hại vào các mẫu thanh toán nhằm thu lợi bất chính.
Trong vài năm qua, các tin tặc liên quan đến Magecart đã tấn công nhiều trang web lớn như: trang web bán vé của Olympics, công ty thiết bị nhà bếp NutriBullet, chuỗi cửa hàng Macy’s, công ty phân phối vé Ticketmaster, hãng hàng không British Airways, công ty bán lẻ trực tuyến Newegg và nhiều nền tảng thương mại điện tử khác.
RiskIQ cho biết những kẻ tấn công chỉ cần chèn 22 dòng mã JavaScript là có được quyền truy cập thời gian thực vào dữ liệu thẻ thanh toán của nạn nhân.
Sử dụng làm rối mã để tránh bị phát hiện
Các nhà nghiên cứu của RiskIQ cho biết, những mã MakeFrame Skimmer mới là một đối tượng nhị phân lớn (Binary large object – blo). Các mảng chuỗi ký tự được mã hóa hex và làm rối mã (obfuscation). Chúng được được trộn lẫn với các mã bình thường để tránh bị phát hiện.
Trong mỗi lần mã hóa, mã skimmer không thể được obfuscation 2 lần bởi có lệnh kiểm tra (_0x5cc230 [‘removeCookie’]) giúp đảm bảo mã không bị thay đổi. Khi vượt qua kiểm tra này, mã skimmer được xây dựng lại bằng cách giải mã các chuỗi bị xáo trộn.
Khi skimmer được thêm vào trang web nạn nhân, MakeFrame cũng có các điều khoản để mô phỏng phương thức thanh toán, sử dụng iFrame để tạo một form thanh toán, dò tìm những dữ liệu được nhập vào form thanh toán giả khi nạn nhân nhấn nút “gửi”. Nó cũng xóa thẻ thông tin dưới dạng tệp .php đến một tên miền đã bị xâm nhập khác (piscinasecologicas.com).
Phương pháp đánh cắp dữ liệu (exfiltration) này giống như phương pháp Magecart Group 7 thường sử dụng. Chúng gửi dữ liệu bị đánh cắp dưới dạng tệp .php đến các trang web bị tấn công khác để ăn cắp dữ liệu.
RiskIQ cho biết có ba phiên bản riêng biệt của skimmer này với các mức độ khác nhau đã được xác định. Các trang web bị ảnh hưởng thường thuộc sở hữu của các doanh nghiệp nhỏ hoặc vừa.
Gia tăng các cuộc tấn công Magecart
Mặc dù được phát hiện từ năm 2010, nhưng nhóm tin tặc Magecart mới thật sự phát triển mạnh mẽ trong vài năm gần đây. Nhóm bao gồm hàng chục nhóm nhỏ chuyên về các cuộc tấn công mạng liên quan đến trộm cắp thẻ tín dụng kỹ thuật số.
Những kẻ đứng đằng sau các mối đe dọa này đã tự động hóa quá trình tấn công các trang web với skimmer bằng cách chủ động quét các gói dịch vụ lưu trữ đối tượng của Amazon có cấu hình sai.
Thực tế, làn sóng tấn công e-skimming gần đây đã phát triển rất mạnh mẽ. Chúng có ảnh hưởng đến hơn 18.000 tên miền, khiến FBI phải đưa ra cảnh báo về mối đe dọa mạng và kêu gọi các doanh nghiệp xây dựng các hàng rào bảo mật để bảo vệ chính họ.
Trong một bài viết được đăng vào tháng trước, cơ quan tình báo FPI khuyến nghị các công ty nên cập nhật phần mềm, cho phép xác thực đa yếu tố, cách ly cơ sở hạ tầng mạng quan trọng và đề phòng các cuộc tấn công lừa đảo.
Skimmer mới nhất của Group 7 là một minh họa cho sự phát triển liên tục của tin tặc. Trong đại dịch COVID-19, các cuộc tấn công Magecart đã tăng 20%, bởi xu hướng mua hàng qua mạng tăng đột biến. Điều này làm mối đe dọa digital Skimmer đang có một trong môi trường phát triển tốt nhất từ trước đến nay.
Trí Công
The hacker news
11:00 | 04/04/2014
14:24 | 09/12/2015
11:00 | 22/08/2020
09:00 | 01/04/2019
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025