WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Inter: bộ công cụ skimmer nhóm Magecart sử dụng để tấn công các trang thương mại điện tử
Các nhà nghiên cứu cho biết bất kỳ kẻ tấn công nào chịu bỏ ra một ít tiền mặt đều có thể thực hiện xu hướng tấn công này.
Magecart - nhóm hacker chuyên nhắm vào các trang thương mại điện tử, được biết đến với phương thức tấn công đặc trưng: bí mật cài đặt script trên các trang web để thu thập dữ liệu thẻ thanh toán người dùng.
Tuy nhiên, hiện nay rất nhiều kẻ tấn công sử dụng các kịch bản skimming (sao chép thông tin) thẻ tín dụng và xu hướng này đã phát triển thành nhiều biến thể liên quan đến nhiều nhóm, mục tiêu và quốc gia núp dưới bóng Magecart.
Vài năm trước, tên miền của các hãng nổi tiếng như hãng hàng không British Airways và dịch vụ mua vé online Ticketmaster bị xâm nhập thông qua các cuộc tấn công của nhóm Magecart, trong đó các trang web có lỗ hổng đã bị khai thác để tải lên mã JavaScript vào các trang cổng thanh toán.
Khi khách hàng thực hiện thanh toán và nhập thông tin chi tiết, thông tin thẻ thanh toán được bí mật thu thập và chuyển đến máy chủ C&C. Thông tin này sau đó được bán hoặc khai thác để thực hiện các giao dịch gian lận.
Hiện tại, các cuộc tấn công kiểu Magecart đã phổ biến hơn rất nhiều và các kỹ thuật được sử dụng để triển khai skimming thẻ liên tục thay đổi.
Mã JavaScript hoặc được lưu trữ trực tiếp trên trang web bị tấn công hoặc được tham chiếu và lưu trữ trên máy chủ do kẻ tấn công kiểm soát. Vào tháng 8/2020, phần mềm Malwarebytes đã phát hiện ra mã Magecart được che giấu trong siêu dữ liệu ảnh EXIF, các kỹ thuật liên quan đến ảnh này đã được phát triển để kết hợp framework thu thập thông tin Inter, các tệp .ICO với các cuộc tấn công "homoglyph".
Các truy vấn ảnh .ICO trên các trang web có thể được thay đổi để nhận về ảnh .ICO lừa đảo chứa mã skimmer, được lưu trữ trên các tên miền tương tự như các tên miền hợp pháp nhưng có sự khác biệt rất nhỏ về chữ cái để tránh bị phát hiện.
Công ty an ninh mạng RiskIQ cho biết, các cuộc tấn công kiểu Magecart khá đơn giản, không cần tội phạm mạng phải có chuyên môn mới thực hiện được để kiếm tiền từ thẻ người dùng.
Bộ công cụ Inter, bao gồm sniffer (công cụ phát hiện lỗi hệ thống mạng), công cụ trích xuất dữ liệu, các chế độ tiêm khác nhau và tập lệnh tương thích với nhiều loại CMS (hệ quản trị nội dung) thương mại điện tử đã được các nhà nghiên cứu an ninh mạng theo dõi trong nhiều năm qua. Một bản build trước đó của bộ công cụ, được Volexity mô tả vào năm 2018, có tên JS Sniffer/SniFall dùng để tấn công nền tảng thương mại điện tử Magento.
Nghiên cứu của các công ty RiskIQ và Flashpoint cho thấy bộ công cụ Inter đầu tiên xuất hiện trên các diễn đàn ngầm là vào năm 2016 với mức giá 5.000 USD, nhưng có vẻ các phiên bản mới của Inter đang được chào bán với giá 1.300 USD mỗi bộ. Hiện tại mức giá đã giảm xuống chỉ còn 1.000 USD và tỷ lệ phân chia số tiền thu được là 30/70 để lôi kéo nhiều kẻ tấn công hơn nữa vào nhóm.
Vào tháng 3, công ty PerimeterX cho biết các nhóm liên quan đến Magecart đã tăng lên hàng trăm nhóm, có thể là do số tiền bộ kit đã giảm và phương thức mới của Inter đòi hỏi ít kiến thức chuyên môn để triển khai.
Theo PerimeterX, Inter sắp trở thành một lựa chọn "Skimming-as-a-Service" trên các diễn đàn ngầm. Nghiên cứu của RiskIQ cho biết, hiện có hơn 1.500 trang web đã bị nhiễm skimmer này và Inter là "một trong những công cụ thu thập thông tin kỹ thuật số phổ biến và được sử dụng rộng rãi nhất hiện nay trên toàn cầu".
Theo nhóm nghiên cứu cho biết, bộ công cụ skimmer của Inter là mặt hàng hot trên thị trường này, đã được đóng gói sẵn và những tội phạm mạng ít có chuyên môn kỹ thuật (nhưng có tiền) đều có thể sử dụng ngay.
RiskIQ cho biết tác giả bộ công cụ, được biết đến với bí danh là porter và Sochi, gần đây đã thực hiện một số cải tiến, bao gồm tùy chọn các dịch vụ mã hóa bổ sung; giả mạo các thanh toán hợp pháp như PayPal và tự động kiểm tra thông tin bị đánh cắp để loại bỏ sự trùng lặp.
Inter cũng liên quan đến một loạt các chiến dịch tội phạm mạng khác, bao gồm lây nhiễm ransomware, dịch vụ DNS fast flux Darkcloud và SandiFlux - kỹ thuật DNS được sử dụng để duy trì botnet và các tên miền có thể kết nối với các chiến dịch lừa đảo và thư rác.
Các nhà nghiên cứu cho biết thêm: “Vì bộ kit Inter được nhiều tổ chức khác nhau sử dụng nên chúng tôi không thể khẳng định những hoạt động này có chắc chắn liên quan đến Sochi hay không. Tuy nhiên, bộ kit Inter là một phần của mạng lưới hoạt động độc hại ngày càng phát triển".
Tuy nhiên, hiện nay rất nhiều kẻ tấn công sử dụng các kịch bản skimming (sao chép thông tin) thẻ tín dụng và xu hướng này đã phát triển thành nhiều biến thể liên quan đến nhiều nhóm, mục tiêu và quốc gia núp dưới bóng Magecart.
Vài năm trước, tên miền của các hãng nổi tiếng như hãng hàng không British Airways và dịch vụ mua vé online Ticketmaster bị xâm nhập thông qua các cuộc tấn công của nhóm Magecart, trong đó các trang web có lỗ hổng đã bị khai thác để tải lên mã JavaScript vào các trang cổng thanh toán.
Khi khách hàng thực hiện thanh toán và nhập thông tin chi tiết, thông tin thẻ thanh toán được bí mật thu thập và chuyển đến máy chủ C&C. Thông tin này sau đó được bán hoặc khai thác để thực hiện các giao dịch gian lận.
Hiện tại, các cuộc tấn công kiểu Magecart đã phổ biến hơn rất nhiều và các kỹ thuật được sử dụng để triển khai skimming thẻ liên tục thay đổi.
Mã JavaScript hoặc được lưu trữ trực tiếp trên trang web bị tấn công hoặc được tham chiếu và lưu trữ trên máy chủ do kẻ tấn công kiểm soát. Vào tháng 8/2020, phần mềm Malwarebytes đã phát hiện ra mã Magecart được che giấu trong siêu dữ liệu ảnh EXIF, các kỹ thuật liên quan đến ảnh này đã được phát triển để kết hợp framework thu thập thông tin Inter, các tệp .ICO với các cuộc tấn công "homoglyph".
Các truy vấn ảnh .ICO trên các trang web có thể được thay đổi để nhận về ảnh .ICO lừa đảo chứa mã skimmer, được lưu trữ trên các tên miền tương tự như các tên miền hợp pháp nhưng có sự khác biệt rất nhỏ về chữ cái để tránh bị phát hiện.
Công ty an ninh mạng RiskIQ cho biết, các cuộc tấn công kiểu Magecart khá đơn giản, không cần tội phạm mạng phải có chuyên môn mới thực hiện được để kiếm tiền từ thẻ người dùng.
Bộ công cụ Inter, bao gồm sniffer (công cụ phát hiện lỗi hệ thống mạng), công cụ trích xuất dữ liệu, các chế độ tiêm khác nhau và tập lệnh tương thích với nhiều loại CMS (hệ quản trị nội dung) thương mại điện tử đã được các nhà nghiên cứu an ninh mạng theo dõi trong nhiều năm qua. Một bản build trước đó của bộ công cụ, được Volexity mô tả vào năm 2018, có tên JS Sniffer/SniFall dùng để tấn công nền tảng thương mại điện tử Magento.
Nghiên cứu của các công ty RiskIQ và Flashpoint cho thấy bộ công cụ Inter đầu tiên xuất hiện trên các diễn đàn ngầm là vào năm 2016 với mức giá 5.000 USD, nhưng có vẻ các phiên bản mới của Inter đang được chào bán với giá 1.300 USD mỗi bộ. Hiện tại mức giá đã giảm xuống chỉ còn 1.000 USD và tỷ lệ phân chia số tiền thu được là 30/70 để lôi kéo nhiều kẻ tấn công hơn nữa vào nhóm.
Vào tháng 3, công ty PerimeterX cho biết các nhóm liên quan đến Magecart đã tăng lên hàng trăm nhóm, có thể là do số tiền bộ kit đã giảm và phương thức mới của Inter đòi hỏi ít kiến thức chuyên môn để triển khai.
Theo PerimeterX, Inter sắp trở thành một lựa chọn "Skimming-as-a-Service" trên các diễn đàn ngầm. Nghiên cứu của RiskIQ cho biết, hiện có hơn 1.500 trang web đã bị nhiễm skimmer này và Inter là "một trong những công cụ thu thập thông tin kỹ thuật số phổ biến và được sử dụng rộng rãi nhất hiện nay trên toàn cầu".
Theo nhóm nghiên cứu cho biết, bộ công cụ skimmer của Inter là mặt hàng hot trên thị trường này, đã được đóng gói sẵn và những tội phạm mạng ít có chuyên môn kỹ thuật (nhưng có tiền) đều có thể sử dụng ngay.
RiskIQ cho biết tác giả bộ công cụ, được biết đến với bí danh là porter và Sochi, gần đây đã thực hiện một số cải tiến, bao gồm tùy chọn các dịch vụ mã hóa bổ sung; giả mạo các thanh toán hợp pháp như PayPal và tự động kiểm tra thông tin bị đánh cắp để loại bỏ sự trùng lặp.
Inter cũng liên quan đến một loạt các chiến dịch tội phạm mạng khác, bao gồm lây nhiễm ransomware, dịch vụ DNS fast flux Darkcloud và SandiFlux - kỹ thuật DNS được sử dụng để duy trì botnet và các tên miền có thể kết nối với các chiến dịch lừa đảo và thư rác.
Các nhà nghiên cứu cho biết thêm: “Vì bộ kit Inter được nhiều tổ chức khác nhau sử dụng nên chúng tôi không thể khẳng định những hoạt động này có chắc chắn liên quan đến Sochi hay không. Tuy nhiên, bộ kit Inter là một phần của mạng lưới hoạt động độc hại ngày càng phát triển".
Theo Zdnet