Chiến dịch này được thực hiện bởi nhóm tin tặc Magecart Group 7 - đây là một nhóm nhỏ của nhóm tin tặc Magecart. Tính tới nay, chiến dịch này đã xâm nhập thành công ít nhất 19 trang web thương mại điện tử khác nhau để đánh cắp thông tin chi tiết về thẻ thanh toán của khách hàng.
Các cuộc tấn công của tin tặc Magecart thường liên quan đến việc xâm nhập cửa hàng trực tuyến để đánh cắp số thẻ tín dụng và chi tiết tài khoản của người mua hàng trên trang web bị tấn công, bằng cách đặt các skimmers JavaScript độc hại vào các mẫu thanh toán nhằm thu lợi bất chính.
Trong vài năm qua, các tin tặc liên quan đến Magecart đã tấn công nhiều trang web lớn như: trang web bán vé của Olympics, công ty thiết bị nhà bếp NutriBullet, chuỗi cửa hàng Macy’s, công ty phân phối vé Ticketmaster, hãng hàng không British Airways, công ty bán lẻ trực tuyến Newegg và nhiều nền tảng thương mại điện tử khác.
RiskIQ cho biết những kẻ tấn công chỉ cần chèn 22 dòng mã JavaScript là có được quyền truy cập thời gian thực vào dữ liệu thẻ thanh toán của nạn nhân.
Sử dụng làm rối mã để tránh bị phát hiện
Các nhà nghiên cứu của RiskIQ cho biết, những mã MakeFrame Skimmer mới là một đối tượng nhị phân lớn (Binary large object – blo). Các mảng chuỗi ký tự được mã hóa hex và làm rối mã (obfuscation). Chúng được được trộn lẫn với các mã bình thường để tránh bị phát hiện.
Trong mỗi lần mã hóa, mã skimmer không thể được obfuscation 2 lần bởi có lệnh kiểm tra (_0x5cc230 [‘removeCookie’]) giúp đảm bảo mã không bị thay đổi. Khi vượt qua kiểm tra này, mã skimmer được xây dựng lại bằng cách giải mã các chuỗi bị xáo trộn.
Khi skimmer được thêm vào trang web nạn nhân, MakeFrame cũng có các điều khoản để mô phỏng phương thức thanh toán, sử dụng iFrame để tạo một form thanh toán, dò tìm những dữ liệu được nhập vào form thanh toán giả khi nạn nhân nhấn nút “gửi”. Nó cũng xóa thẻ thông tin dưới dạng tệp .php đến một tên miền đã bị xâm nhập khác (piscinasecologicas.com).
Phương pháp đánh cắp dữ liệu (exfiltration) này giống như phương pháp Magecart Group 7 thường sử dụng. Chúng gửi dữ liệu bị đánh cắp dưới dạng tệp .php đến các trang web bị tấn công khác để ăn cắp dữ liệu.
RiskIQ cho biết có ba phiên bản riêng biệt của skimmer này với các mức độ khác nhau đã được xác định. Các trang web bị ảnh hưởng thường thuộc sở hữu của các doanh nghiệp nhỏ hoặc vừa.
Gia tăng các cuộc tấn công Magecart
Mặc dù được phát hiện từ năm 2010, nhưng nhóm tin tặc Magecart mới thật sự phát triển mạnh mẽ trong vài năm gần đây. Nhóm bao gồm hàng chục nhóm nhỏ chuyên về các cuộc tấn công mạng liên quan đến trộm cắp thẻ tín dụng kỹ thuật số.
Những kẻ đứng đằng sau các mối đe dọa này đã tự động hóa quá trình tấn công các trang web với skimmer bằng cách chủ động quét các gói dịch vụ lưu trữ đối tượng của Amazon có cấu hình sai.
Thực tế, làn sóng tấn công e-skimming gần đây đã phát triển rất mạnh mẽ. Chúng có ảnh hưởng đến hơn 18.000 tên miền, khiến FBI phải đưa ra cảnh báo về mối đe dọa mạng và kêu gọi các doanh nghiệp xây dựng các hàng rào bảo mật để bảo vệ chính họ.
Trong một bài viết được đăng vào tháng trước, cơ quan tình báo FPI khuyến nghị các công ty nên cập nhật phần mềm, cho phép xác thực đa yếu tố, cách ly cơ sở hạ tầng mạng quan trọng và đề phòng các cuộc tấn công lừa đảo.
Skimmer mới nhất của Group 7 là một minh họa cho sự phát triển liên tục của tin tặc. Trong đại dịch COVID-19, các cuộc tấn công Magecart đã tăng 20%, bởi xu hướng mua hàng qua mạng tăng đột biến. Điều này làm mối đe dọa digital Skimmer đang có một trong môi trường phát triển tốt nhất từ trước đến nay.
Trí Công
The hacker news
11:00 | 04/04/2014
14:24 | 09/12/2015
11:00 | 22/08/2020
09:00 | 01/04/2019
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024