Tin tặc chèn skimmer vào ảnh nhằm đánh cắp dữ liệu thẻ người dùng

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Ginny Hà, 27/06/20, 10:06 AM.

  1. Ginny Hà

    Ginny Hà WhiteHat Support

    Tham gia: 04/06/14, 02:06 PM
    Bài viết: 552
    Đã được thích: 77
    Điểm thành tích:
    48
    Một nhóm hacker đã tìm cách che giấu skimmer (thiết bị đánh cắp thông tin) trong siêu dữ liệu EXIF của một hình ảnh, sau đó tìm cách tải lên các cửa hàng trực tuyến.

    Mặc dù các file hình ảnh từ lâu đã bị hacker lợi dụng để chèn mã độc, nhưng việc chèn thêm skimmer thì khá mới mẻ. Các đoạn script được tạo ra để đánh cắp dữ liệu thẻ tín dụng và thông tin nhạy cảm khác mà người dùng nhập vào các trang web thương mại điện tử bị xâm nhập. Những dữ liệu này sau đó được gửi tới những kẻ đứng sau chiến dịch.

    online-store.jpg

    Theo các nhà nghiên cứu của Malwarebytes, đoạn JavaScript phát hiện ban đầu được tải lên từ một cửa hàng trực tuyến chạy plugin WooC Commerce trên WordPress. Đoạn mã độc hại đã được thêm vào một script lưu trữ bởi người bán.

    Script sẽ tải một file favicon giống hệt với favicon mà cửa hàng bị xâm nhập sử dụng (logo thương hiệu của họ). Skimmer được ẩn giấu trong trường dữ liệu của chính hình ảnh này.

    Skimmer sẽ lấy nội dung của các trường đầu vào nơi người mua hàng trực tuyến nhập tên, địa chỉ thanh toán và chi tiết thẻ tín dụng.

    Skimmer cũng mã hóa dữ liệu thu được, đảo chuỗi và gửi thông tin đến máy chủ bên ngoài dưới dạng tệp hình ảnh, thông qua request POST.

    Hacker có lẽ đã quyết định dùng theme ảnh để che giấu dữ liệu thu thập thông qua file favicon.ico”, Malebebytes cho biết.

    Trong quá trình điều tra, các nhà nghiên cứu đã tìm thấy một bản sao mã nguồn của bộ công cụ skimmer trong một thư mục mở của một trang bị xâm nhập. Từ đó phân tích cách thức tệp favicon.ico được chèn script.

    Malwarebytes cũng phân tích một phiên bản skimmer trước đó, thiếu phần obfuscation so với phiên bản mới nhưng có cùng tính năng. Các chuyên gia cho rằng có các công cụ này thể có liên quan tới Magecart – nhóm hacker chuyên tấn công các cửa hàng trực tuyến.

    Theo SecurityWeek
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. TuanMinh

    TuanMinh Member

    Tham gia: 23/04/20, 11:04 AM
    Bài viết: 24
    Đã được thích: 6
    Điểm thành tích:
    3
    chưa hiểu lắm luôn, có bạn nào giải thích hộ ko anh em? mình hiểu là 1 hacker sở hữu 1 web WordPress , dùng plugin WooC Commerce , hacker này nhúng mã js vào plugin để download favicon (file thực thi mã dc giấu trong ảnh làm giống favicon )

    "Skimmer sẽ lấy nội dung của các trường đầu vào nơi người mua hàng trực tuyến nhập tên, địa chỉ thanh toán và chi tiết thẻ tín dụng." --> ủa cái này lạ nếu muốn lấy thông tin user thì thằng hacker này cần gì cái Skimmer này, vì website này của nó mà. hay là cái website này bị hacker vào dc admin rồi nhúng code?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. PhantomPhoenix

    PhantomPhoenix Member

    Tham gia: 15/12/17, 09:12 AM
    Bài viết: 11
    Đã được thích: 4
    Điểm thành tích:
    3
    Theo mình hiểu thì cái này là hacker chèn mã độc vào một plugin rồi đưa lên cửa hàng, sau đó các lập trình viên của web khác sẽ sử dụng các plugin này trên web của họ và khi đó hacker sẽ lấy được thông tin từ các web này.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. poseidon

    poseidon Well-Known Member

    Tham gia: 09/04/17, 04:04 PM
    Bài viết: 79
    Đã được thích: 23
    Điểm thành tích:
    8
    Mình hiểu đơn giản là như này:
    1 Bạn là chủ sở hữu của 1 trang web Bornhub dùng WordPress, trên đó có bán mặt hàng là các video học tập của WhiteHat Admin
    2 Bạn cài đặt 1 plugin hỗ trợ trên internet (ví dụ WooC Commerce) vô web của mình
    3 Plugin này có mã độc và ngụy trang trong favicon kèm các script độc hại
    4 Khách hàng của bạn vào Bornhub mua khóa học và sẽ nhập các thông tin thẻ để mua hàng
    5 Script độc hại lấy trộm thông tin thẻ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan