Một chiến dịch tấn công mới đang đánh cắp thông tin thẻ tín dụng từ hàng trăm website mua sắm

Các nhà nghiên cứu từ công ty an ninh mạng Qihoo 360 của NetLab đã tiết lộ chi tiết về chiến dịch tấn công mạng nhắm vào dữ liệu thẻ tín dụng của khách hàng đang diễn ra trên khoảng 105 trang web thương mại điện tử.

Một chiến dịch tấn công mới đang đánh cắp thông tin thẻ tín dụng từ hàng trăm website mua sắm - CyberSec365.org

Cụ thể, trong khi giám sát một tên miền độc hại, www.magento-analytics [.] Com, trong hơn bảy tháng qua, các nhà nghiên cứu phát hiện ra rằng những kẻ tấn công đã tiêm các đoạn mã JS độc hại được lưu trữ trên miền này vào hàng trăm trang web mua sắm trực tuyến.

Các tập lệnh JavaScript được đề cập bao gồm mã skimming thẻ tín dụng kỹ thuật số khi thực thi trên trang web, tự động lấy cắp thông tin thẻ thanh toán, như tên chủ thẻ tín dụng, số thẻ tín dụng, thời gian hết hạn, thông tin CVV, được nhập bởi khách hàng.

Trong một cuộc phỏng vấn qua email, nhà nghiên cứu NetLab cho biết rằng họ không có đủ dữ liệu để xác định các tin tặc đã lây nhiễm đoạn mã này vào các trang web bị ảnh hưởng bằng cách nào và từ khi nào, nhưng đã xác nhận rằng tất cả các trang web mua sắm bị ảnh hưởng đều chạy trên Magento - một phần mềm CMS thương mại.

Phân tích sâu hơn cho thấy tập lệnh độc hại sau đó gửi dữ liệu thẻ thanh toán bị đánh cắp đến một tệp khác được lưu trữ trên máy chủ magento-analytics[.]com do những kẻ tấn công kiểm soát.

"Take one victim as an example, www.kings2.com, when a user loads its homepage, the JS runs as well. If a user selects a product and goes to the 'Payment Information' to submit the credit card information, after the CVV data is entered, the credit card information will be uploaded," researchers explain in a blog post published today.

 Kỹ thuật được sử dụng bởi nhóm đứng sau chiến dịch này không mới và chính xác giống như những gì các nhóm tin tặc chuyên nhắm vào thẻ tín dụng MageCart khét tiếng đã sử dụng trong hàng trăm cuộc tấn công gần đây của họ bao gồm Ticketmaster, British Airways và Newegg.

Tuy nhiên, các nhà nghiên cứu NetLab đã không liên kết rõ ràng cuộc tấn công này với bất kỳ nhóm MageCart nào.

Ngoài ra, đừng nhầm lẫn với tên miền - www.magento-analytics [.] Com.

Có Magento trong tên miền không có nghĩa là tên miền độc hại dù sao cũng được liên kết với nền tảng CMS thương mại điện tử Magento phổ biến; thay vào đó, những kẻ tấn công đã sử dụng từ khóa này để ngụy trang các hoạt động của chúng và gây nhầm lẫn cho người dùng thường xuyên.

Theo các nhà nghiên cứu, tên miền độc hại được sử dụng trong chiến dịch được đăng ký tại Panama, tuy nhiên, trong những tháng gần đây, địa chỉ IP đã chuyển từ "Hoa Kỳ, Arizona" sang "Nga, Moscow", sau đó đến "Trung Quốc, Hồng Kông. "

Mặc dù các nhà nghiên cứu phát hiện ra rằng tên miền độc hại đã đánh cắp thông tin thẻ tín dụng trong ít nhất năm tháng với tổng số 105 trang web đã bị nhiễm mã độc JS, họ tin rằng con số này có thể cao hơn những gì xuất hiện trên radar của họ.

Mới hôm qua, một người dùng đã đăng trên một diễn đàn rằng trang web Magento của anh ta cũng bị tin tặc xâm nhập gần đây và những kẻ tấn công đã bí mật tiêm một đoạn mã đánh cắp thẻ tín dụng từ cùng một tên miền, rõ ràng là một biến thể riêng biệt chưa được liệt kê trên trang web 360 NetLab.

Vì những kẻ tấn công thường khai thác các lỗ hổng đã biết trong phần mềm thương mại điện tử trực tuyến để tiêm các tập lệnh độc hại của chúng, nên các quản trị viên trang web nên tuân thủ các thực tiễn bảo mật tốt nhất, như áp dụng các bản cập nhật và bản vá mới nhất, hạn chế các đặc quyền cho các hệ thống quan trọng và làm cứng máy chủ web.

Quản trị viên trang web cũng được khuyên nên tận dụng Chính sách bảo mật nội dung (CSP) cho phép kiểm soát chặt chẽ chính xác những tài nguyên nào được phép tải trên trang web của bạn.

Trong khi đó, người mua hàng trực tuyến cũng được khuyên nên thường xuyên xem xét thẻ tín dụng và báo cáo ngân hàng cho bất kỳ hoạt động lạ nào. Cho dù bạn nhận thấy giao dịch trái phép nhỏ như thế nào, bạn nên luôn luôn và báo cáo ngay cho ngân hàng của mình ngay lập tức

Nguồn: The Hacker News.