WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Tin tặc ẩn dữ liệu thẻ tín dụng đánh cắp được trong tệp JPG
Tin tặc đã nghĩ ra một phương pháp mới nhằm giảm dấu vết lưu lượng đáng ngờ, giúp chúng khó bị phát hiện khi đánh cắp dữ liệu thẻ thanh toán từ các cửa hàng trực tuyến.
Thay vì gửi thông tin thẻ đến máy chủ mà chúng kiểm soát, tin tặc ẩn thông tin đó dưới dạng ảnh JPG và lưu trữ trên trang web bị nhiễm.
Trích xuất dữ liệu dễ dàng
Các nhà nghiên cứu tại công ty bảo mật Sucuri đã phát hiện một kỹ thuật trích xuất mới khi điều tra một cửa hàng trực tuyến bị tấn công chạy phiên bản 2 của nền tảng mã nguồn mở Magento.
Những cuộc tấn công dạng này được gọi chung là tấn công “Magecart” và đã xuất hiện từ nhiều năm trước. Tội phạm mạng giành quyền truy cập vào cửa hàng trực tuyến thông qua lỗ hổng hoặc điểm yếu, cài cắm mã độc để lấy cắp dữ liệu thẻ của khách hàng thanh toán.
Sucuri đã tìm thấy một tệp PHP trên trang web bị xâm nhập. Trang web đã bị tin tặc sửa đổi để tải thêm mã độc bằng cách tạo và gọi hàm getAuthenticates.
Tại một vị trí công khai của cửa hàng trực tuyến, mã độc cũng tạo ra một hình ảnh JPG được sử dụng để lưu trữ dữ liệu thẻ thanh toán của khách hàng ở dạng mã hóa.
Điều này cho phép những kẻ tấn công dễ dàng tải xuống thông tin dưới dạng tệp JPG mà không gây ra bất kỳ cảnh báo nào vì hành động đó chỉ giống một người dùng đơn thuần tải xuống một hình ảnh từ trang web.
Phân tích mã, các nhà nghiên cứu xác định rằng mã độc đã sử dụng Magento để bắt thông tin từ trang thanh toán thông qua tham số Customer_parameter.
Sucuri cho biết nếu khách hàng đã đăng nhập với tư cách là người dùng, mã độc sẽ đánh cắp cả địa chỉ email của họ.
Các nhà nghiên cứu nói rằng hầu như tất cả dữ liệu được gửi trên trang thanh toán đều có trong tham số Customer-parameter, bao gồm chi tiết thẻ thanh toán, số điện thoại và địa chỉ bưu điện.
Tất cả thông tin trên có thể được sử dụng để gian lận thẻ tín dụng bởi tin tặc hoặc bởi một bên mua dữ liệu, hoặc để triển khai các chiến dịch lừa đảo và spam có mục tiêu .
Sucuri nói rằng phương pháp này đủ kín đáo để chủ sở hữu trang web bỏ sót khi kiểm tra. Tuy nhiên, việc kiểm tra, kiểm soát tính toàn vẹn và giám sát trang web sẽ có thể phát hiện các thay đổi như sửa đổi mã hoặc các tệp mới được thêm vào.
Thay vì gửi thông tin thẻ đến máy chủ mà chúng kiểm soát, tin tặc ẩn thông tin đó dưới dạng ảnh JPG và lưu trữ trên trang web bị nhiễm.
Các nhà nghiên cứu tại công ty bảo mật Sucuri đã phát hiện một kỹ thuật trích xuất mới khi điều tra một cửa hàng trực tuyến bị tấn công chạy phiên bản 2 của nền tảng mã nguồn mở Magento.
Những cuộc tấn công dạng này được gọi chung là tấn công “Magecart” và đã xuất hiện từ nhiều năm trước. Tội phạm mạng giành quyền truy cập vào cửa hàng trực tuyến thông qua lỗ hổng hoặc điểm yếu, cài cắm mã độc để lấy cắp dữ liệu thẻ của khách hàng thanh toán.
Sucuri đã tìm thấy một tệp PHP trên trang web bị xâm nhập. Trang web đã bị tin tặc sửa đổi để tải thêm mã độc bằng cách tạo và gọi hàm getAuthenticates.
Tại một vị trí công khai của cửa hàng trực tuyến, mã độc cũng tạo ra một hình ảnh JPG được sử dụng để lưu trữ dữ liệu thẻ thanh toán của khách hàng ở dạng mã hóa.
Điều này cho phép những kẻ tấn công dễ dàng tải xuống thông tin dưới dạng tệp JPG mà không gây ra bất kỳ cảnh báo nào vì hành động đó chỉ giống một người dùng đơn thuần tải xuống một hình ảnh từ trang web.
Phân tích mã, các nhà nghiên cứu xác định rằng mã độc đã sử dụng Magento để bắt thông tin từ trang thanh toán thông qua tham số Customer_parameter.
Sucuri cho biết nếu khách hàng đã đăng nhập với tư cách là người dùng, mã độc sẽ đánh cắp cả địa chỉ email của họ.
Các nhà nghiên cứu nói rằng hầu như tất cả dữ liệu được gửi trên trang thanh toán đều có trong tham số Customer-parameter, bao gồm chi tiết thẻ thanh toán, số điện thoại và địa chỉ bưu điện.
Tất cả thông tin trên có thể được sử dụng để gian lận thẻ tín dụng bởi tin tặc hoặc bởi một bên mua dữ liệu, hoặc để triển khai các chiến dịch lừa đảo và spam có mục tiêu .
Sucuri nói rằng phương pháp này đủ kín đáo để chủ sở hữu trang web bỏ sót khi kiểm tra. Tuy nhiên, việc kiểm tra, kiểm soát tính toàn vẹn và giám sát trang web sẽ có thể phát hiện các thay đổi như sửa đổi mã hoặc các tệp mới được thêm vào.
Theo: bleepingcomputer