Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc mới Backoff lấy cắp thông tin người dùng thanh toán thẻ
Chính phủ Mỹ vừa đưa ra cảnh báo về malware "bán lẻ " (retail malware) mới có tên gọi Backoff lấy cắp thông tin người dùng từ hệ thống thanh toán thẻ (POS), đã và đang gây ảnh hưởng đến 600 doanh nghiệp.
Theo cảnh báo từ US-CERT, malware Backoff lần đầu tiên xuất hiện vào tháng 10/2013 và hiện còn hoạt động với ít nhất 3 biến thể chính. Backoff có thể ghi lại các thao tác bàn phím, rà soát bộ nhớ thiết bị để lấy dữ liệu thẻ tín dụng và có thể kết nối với các nút khác trên mạng botnet lớn hơn.
Chuyên gia Karl Sigler của Trustwave cho biết: “Malware này được tổ chức trong một mạng botnet sử dụng máy chủ điều khiển (Command & Control). Máy chủ điều khiển này quản lý toàn bộ hệ thống POS đã nhiễm mã độc và các phương tiện để nâng cấp malware lên phiên bản mới.”
Dù đến tận bây giờ mới được phát hiện, malware Backoff đã có một diện ảnh hưởng lớn. Trustwave tiến hành 4 cuộc điều tra forensic liên quan đến Backoff và xác định gần 600 doanh nghiệp đã bị lây nhiễm malware này.
Backoff không lây nhiễm hệ thống máy thanh toán theo cách tấn công phishing thông thường là lừa người dùng click vào link độc hại. Do đó, tin tặc không cần dùng đến kỹ thuật phishing hoặc bộ công cụ khai thác để lây nhiễm Backoff vào hệ thống.
Hacker sử dụng hình thức brute-force (thử mật khẩu) để dò các thông tin từ phần mềm quản lý từ xa của nhà cung cấp POS để cài đặt malware. Bởi vì người dùng thường không kiểm tra email hoặc truy cập vào web trên hệ thống máy POS, nên việc tấn công phishing sẽ không có tác dụng.
Trong tấn công brute-force, tin tặc liên tiếp kiểm thử các cặp account và mật khẩu cho đến khi truy cập được. Theo US-CERT, trước phát hiện này (tính đến ngày 31/07), các phần mềm antivirus đã không thể phát hiện được malware Backoff.
Một trong các giải pháp giảm nguy cơ của Backoff là kiểm soát và hạn chế truy cập từ xa vào hệ thống POS. Việc truy cập từ xa chính là cơ hội để kẻ tấn công Backoff có thể chiếm quyền kiểm soát từ xa vào hệ thống.
Ngoài ra, các đơn vị chấp nhận thanh toán thẻ nên tuân thủ Bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán (PCI DSS). Các chuyên gia cho biết PCI DSS cung cấp quyền kiểm soát cụ thể có thể giảm thiểu hoặc ngăn chặn lây nhiễm Backoff.
Mục 8.3 của bộ tiêu chuẩn yêu cầu sử dụng xác thực 2 bước khi truy cập từ xa. Điều này có thể ngăn chặn tấn công brute-force cho phép lây nhiễm ban đầu của malware.
Một yêu cầu quan trọng khác của PCI DSS là các doanh nghiệp phải có tưởng lửa để bảo vệ dữ liệu của chủ thẻ. Quy định về tường lửa kiểm soát truy cập cũng có thể ngăn chặn việc lộ lọt dữ liệu thẻ ngay cả khi đã bị nhiễm mã độc.
Theo cảnh báo từ US-CERT, malware Backoff lần đầu tiên xuất hiện vào tháng 10/2013 và hiện còn hoạt động với ít nhất 3 biến thể chính. Backoff có thể ghi lại các thao tác bàn phím, rà soát bộ nhớ thiết bị để lấy dữ liệu thẻ tín dụng và có thể kết nối với các nút khác trên mạng botnet lớn hơn.
Chuyên gia Karl Sigler của Trustwave cho biết: “Malware này được tổ chức trong một mạng botnet sử dụng máy chủ điều khiển (Command & Control). Máy chủ điều khiển này quản lý toàn bộ hệ thống POS đã nhiễm mã độc và các phương tiện để nâng cấp malware lên phiên bản mới.”
Dù đến tận bây giờ mới được phát hiện, malware Backoff đã có một diện ảnh hưởng lớn. Trustwave tiến hành 4 cuộc điều tra forensic liên quan đến Backoff và xác định gần 600 doanh nghiệp đã bị lây nhiễm malware này.
Backoff không lây nhiễm hệ thống máy thanh toán theo cách tấn công phishing thông thường là lừa người dùng click vào link độc hại. Do đó, tin tặc không cần dùng đến kỹ thuật phishing hoặc bộ công cụ khai thác để lây nhiễm Backoff vào hệ thống.
Hacker sử dụng hình thức brute-force (thử mật khẩu) để dò các thông tin từ phần mềm quản lý từ xa của nhà cung cấp POS để cài đặt malware. Bởi vì người dùng thường không kiểm tra email hoặc truy cập vào web trên hệ thống máy POS, nên việc tấn công phishing sẽ không có tác dụng.
Trong tấn công brute-force, tin tặc liên tiếp kiểm thử các cặp account và mật khẩu cho đến khi truy cập được. Theo US-CERT, trước phát hiện này (tính đến ngày 31/07), các phần mềm antivirus đã không thể phát hiện được malware Backoff.
Một trong các giải pháp giảm nguy cơ của Backoff là kiểm soát và hạn chế truy cập từ xa vào hệ thống POS. Việc truy cập từ xa chính là cơ hội để kẻ tấn công Backoff có thể chiếm quyền kiểm soát từ xa vào hệ thống.
Ngoài ra, các đơn vị chấp nhận thanh toán thẻ nên tuân thủ Bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán (PCI DSS). Các chuyên gia cho biết PCI DSS cung cấp quyền kiểm soát cụ thể có thể giảm thiểu hoặc ngăn chặn lây nhiễm Backoff.
Mục 8.3 của bộ tiêu chuẩn yêu cầu sử dụng xác thực 2 bước khi truy cập từ xa. Điều này có thể ngăn chặn tấn công brute-force cho phép lây nhiễm ban đầu của malware.
Một yêu cầu quan trọng khác của PCI DSS là các doanh nghiệp phải có tưởng lửa để bảo vệ dữ liệu của chủ thẻ. Quy định về tường lửa kiểm soát truy cập cũng có thể ngăn chặn việc lộ lọt dữ liệu thẻ ngay cả khi đã bị nhiễm mã độc.
Nguồn: eWeek
Chỉnh sửa lần cuối bởi người điều hành: