Visa cảnh báo về JavaScript skimmer thẻ tín dụng mới có tên là Baka

[nǝıH]

Visa đã đưa ra cảnh báo liên quan đến một skimmer thương mại điện tử sử dụng JavaScript mới có tên Baka có thể tự xóa nó khỏi bộ nhớ sau khi đánh cắp được dữ liệu.

E-skimmer được phát hiện lần đầu vào tháng 02/2020 sau khi các nhà nghiên cứu thuộc dự án “Ngăn chặn Gian lận Thanh toán” của Visa phân tích máy chủ C&C có lưu trữ bộ công cụ ImageID e-skimming

Năm ngoái, Visa phát hiện ra một trình JavaScript skimmer khác có tên Pipka đã lây lan trên các cửa hàng trực tuyến của ít nhất mười sáu trang web bán hàng sau lần đầu tiên được phát hiện trên trang thương mại điện tử của các tổ chức Bắc Mỹ vào tháng 9 năm 2019.

Tránh bị phát hiện và phân tích

Bên cạnh các tính năng skimming cơ bản thông thường như cấu hình các trường biểu mẫu đích và lọc dữ liệu, Baka là một e-skimmer tinh vi được tạo ra bởi một người có chuyên môn cao và đi kèm với một phương pháp obfuscation và loader duy nhất.

Loader của Baka hoạt động bằng cách thêm động thẻ script vào trang hiện tại để tải tệp JavaScript từ xa. URL JavaScript được mã hóa cứng trong script của loader ở định dạng được mã hóa, các chuyên gia nhận thấy rằng những kẻ tấn công có thể thay đổi URL cho từng nạn nhân

"PFD đánh giá rằng biến thể skimmer này tránh bị phát hiện bằng cách tự xóa nó khỏi bộ nhớ khi nó phát hiện công cụ phân tích hoặc khi dữ liệu đã được lọc thành công"

Baka đã được Visa phát hiện trên nhiều cửa hàng trực tuyến từ một số quốc gia và nó đã được theo dõi khi xâm nhập vào các cửa hàng thương mại điện tử như: jquery-cycle[.]com, b-metric[.]com, apienclave[.]com, quicdn[.]com, apisquere[.]com, ordercheck[.]online, và pridecdn[.]com

Code lọc dữ liệu của Baka​

Ngụy trang dưới dạng mã đã render của một trang web
Skimmer được thêm vào các trang thanh toán của người bán bằng cách sử dụng thẻ script sau đó loader sẽ tải xuống mã skimming từ máy chủ C&C và thực thi nó trong bộ nhớ.

Điều này giúp skimming code dùng để thu thập dữ liệu của khách hàng không bị phát hiện khi phân tích các tệp được lưu trữ trên server của người bán hoặc máy tính của khách hàng.

Visa giải thích: "Skimming payload giải mã thành JavaScript giống với code sẽ được sử dụng để hiển thị trang"

Baka cũng là mã độc JavaScript skimming đầu tiên được Visa phát hiện sử dụng mật mã XOR để obfuscate code được tải xuống từ C&C và bất kỳ giá trị được mã hóa cứng nào.

Baka loader
​

Ngoài ra, Visa đưa ra các khuyến cáo sau nhằm ngăn chặn kẻ xấu triển khai các script để skimming việc thanh toán thẻ:
• Kiểm tra định kỳ kết nối môi trường thương mại điện tử với các máy chủ C&C
• Đảm bảo code được tích hợp vào môi trường Thương mại điện tử thông qua các nhà cung cấp dịch vụ đã được kiểm duyệt
• Kiểm tra kỹ Content Delivery Networks -CDN (Mạng cung cấp nội dung) và các tài nguyên bên thứ ba khác.
• Thường xuyên quét và kiểm tra các trang web Thương mại Điện tử để tìm các lỗ hổng hoặc phần mềm độc hại. Thuê một chuyên gia đáng tin cậy hoặc nhà cung cấp dịch vụ có uy tín về bảo mật để bảo vệ môi trường Thương mại điện tử. Đặt ra các câu hỏi và yêu cầu báo cáo kỹ lưỡng. Tin tưởng, nhưng hãy xác minh các bước do công ty được thuê thực hiện.
• Đảm bảo các dịch vụ và tất cả phần mềm thường xuyên được nâng cấp hoặc vá lên phiên bản mới nhất. Thiết lập Tường lửa Ứng dụng Web để chặn các truy vấn độc hại đến trang web.
• Giới hạn quyền truy cập vào trang quản trị và tài khoản quản trị.
• Yêu cầu mật khẩu quản trị mạnh (sử dụng trình quản lý mật khẩu để có mật khẩu tốt nhất) và bật xác thực hai yếu tố.
• Xem xét sử dụng giải pháp thanh toán được lưu trữ đầy đủ. Trong đó thông tin thanh toán của khách hàng được nhập trên web và lưu trữ trên máy chủ giải pháp thanh toán đó, tách biệt với trang web của người bán. Đây là cách an toàn nhất để bảo vệ người bán và khách hàng của họ trước các phần mềm độc hại

Các bạn có thể xem chi tiết cảnh báo từ visa ở đây

Nguồn: bleepingcomputer​