Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Tin tặc khai thác lỗ hổng zero-day trên Magento, lấy cắp thông tin thẻ tín dụng
Tin tặc đang tăng cường khai thác lỗ hổng zero-day trên Magento để lấy cắp thông tin thẻ tín dụng khách hàng từ các website thương mại điện tử sử dụng nền tảng tạo web phổ biến này.
Các chuyên gia an ninh mạng đang tiến hành điều tra về phương thức tấn công khai thác lỗ hổng. Nhận định ban đầu cho thấy, tin tặc chèn đoạn mã độc hại vào file core Magento hoặc một số mô-đun/extension phổ biến để lấy cắp dữ liệu thẻ thanh toán.
.jpg)
Vào tháng 4/2015, một lỗ hổng thực thi đoạn mã từ xa trên Magento cũng được phát hiện. Lỗ hổng này cho phép tin tặc xâm nhập hoàn toàn bất kỳ trang web bán hàng online nào sử dụng Magento, từ đó chiếm quyền truy cập các dữ liệu thẻ tín dụng, thông tin tài chính và thông tin cá nhân liên quan tới khách hàng.
Các chuyên gia phát hiện đoạn mã tấn công nhằm lấy cắp nội dung của từng truy vấn POST và xác định dữ liệu thẻ thanh toán của người dùng. Các dữ liệu này sau đó sẽ được lưu ở dạng mã hóa mà chỉ tin tặc có thể giải mã.
Ngoài ra, để không bị phát hiện, công cụ tấn công cũng được tin tặc trang bị tính năng xóa dấu vết, che dấu hành vi trước các chủ sở hữu website.
Điều tệ hại là người dùng sẽ chỉ biết mình là nạn nhân của cuộc tấn công khi có thông báo trừ tiền tài khoản từ ngân hàng.
Chuyên gia phát hiện một vài biến thể khác, nhưng việc đoạn mã bao gồm PUBLIC_KEY cho thấy, mục đích chính của kẻ đứng sau mã độc là lấy cắp thông tin thẻ tín dụng.
Tin tặc lưu trữ thông tin thanh toán dưới dạng tập tin giả dạng là file ảnh ở phần đầu của script. Ngoài ra, tin tặc chỉnh sửa dấu thời gian khởi tạo file ảnh và thêm một header JPEG giả mạo. Nếu một người muốn tải file ảnh này về từ trình duyệt web, thì sẽ chỉ thấy đó là một ảnh bị lỗi. Tuy nhiên, tin tặc có thể tải file “ảnh” hoàn chỉnh này và giải mã dữ liệu đã đánh cắp bằng cách sử dụng Public Key để lấy các thông tin thanh toán của khách hàng.
Được sử dụng bởi top 1 triệu trang web thương mại điện tử hàng đầu (Xếp hạng Alexa), Magento đã trở thành mục tiêu “béo bở” mà tin tặc nhắm tới. Hai tháng trước, tin tặc sử dụng mã độc quảng cáo lây nhiễm các website thương mại điện tử sử dụng Magento để gửi các thông tin thẻ tín dụng khai thác được từ khách hàng đến một trang web độc hại của một bên thứ ba do tin tặc kiểm soát.
Các chuyên gia an ninh mạng đang tiến hành điều tra về phương thức tấn công khai thác lỗ hổng. Nhận định ban đầu cho thấy, tin tặc chèn đoạn mã độc hại vào file core Magento hoặc một số mô-đun/extension phổ biến để lấy cắp dữ liệu thẻ thanh toán.
Các chuyên gia phát hiện đoạn mã tấn công nhằm lấy cắp nội dung của từng truy vấn POST và xác định dữ liệu thẻ thanh toán của người dùng. Các dữ liệu này sau đó sẽ được lưu ở dạng mã hóa mà chỉ tin tặc có thể giải mã.
Ngoài ra, để không bị phát hiện, công cụ tấn công cũng được tin tặc trang bị tính năng xóa dấu vết, che dấu hành vi trước các chủ sở hữu website.
Điều tệ hại là người dùng sẽ chỉ biết mình là nạn nhân của cuộc tấn công khi có thông báo trừ tiền tài khoản từ ngân hàng.
Chuyên gia phát hiện một vài biến thể khác, nhưng việc đoạn mã bao gồm PUBLIC_KEY cho thấy, mục đích chính của kẻ đứng sau mã độc là lấy cắp thông tin thẻ tín dụng.
Tin tặc lưu trữ thông tin thanh toán dưới dạng tập tin giả dạng là file ảnh ở phần đầu của script. Ngoài ra, tin tặc chỉnh sửa dấu thời gian khởi tạo file ảnh và thêm một header JPEG giả mạo. Nếu một người muốn tải file ảnh này về từ trình duyệt web, thì sẽ chỉ thấy đó là một ảnh bị lỗi. Tuy nhiên, tin tặc có thể tải file “ảnh” hoàn chỉnh này và giải mã dữ liệu đã đánh cắp bằng cách sử dụng Public Key để lấy các thông tin thanh toán của khách hàng.
Được sử dụng bởi top 1 triệu trang web thương mại điện tử hàng đầu (Xếp hạng Alexa), Magento đã trở thành mục tiêu “béo bở” mà tin tặc nhắm tới. Hai tháng trước, tin tặc sử dụng mã độc quảng cáo lây nhiễm các website thương mại điện tử sử dụng Magento để gửi các thông tin thẻ tín dụng khai thác được từ khách hàng đến một trang web độc hại của một bên thứ ba do tin tặc kiểm soát.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: