Tấn Công Magecart Mới: Hiểm Họa Đánh Cắp Thẻ Tín Dụng Khẩn Cấp

Một chiến dịch theo phong cách tấn công Magecart mới đã xuất hiện, nhắm mục tiêu vào những người mua hàng trực tuyến thông qua mã JavaScript độc hại. Mã này được thiết kế để đánh cắp thông tin thanh toán trực tiếp từ các trang web thương mại điện tử bị xâm nhập.

Cuộc tấn công hoạt động bằng cách tiêm các script ẩn vào các trang web mua sắm đã bị thỏa hiệp, cho phép kẻ tấn công chặn dữ liệu nhạy cảm. Quá trình này diễn ra khi khách hàng nhập chi tiết thẻ tín dụng của họ trong bước thanh toán.

Bối cảnh và Sự Phát triển của Mối đe dọa Magecart

Các cuộc tấn công Magecart đại diện cho một mối đe dọa mạng đáng kể đối với các nhà bán lẻ trực tuyến và khách hàng của họ. Các chiến dịch này đã phát triển qua nhiều năm, với tội phạm mạng liên tục tinh chỉnh các phương pháp của chúng để tránh bị phát hiện.

Biến thể mới nhất chứng minh các kỹ thuật che giấu tinh vi, khiến các đội ngũ an ninh gặp khó khăn hơn. Điều này xảy ra khi cố gắng xác định và chặn mã độc trước khi nó gây tổn hại đến lòng tin của khách hàng và hoạt động kinh doanh.

Kỹ thuật Che giấu Mã độc Phức tạp

Tính chất vô hình của cuộc tấn công là yếu tố khiến nó đặc biệt nguy hiểm. Mã JavaScript chạy ngầm mà không kích hoạt cảnh báo bảo mật của trình duyệt hoặc để lại dấu hiệu thỏa hiệp rõ ràng. Điều này giúp mã độc có thể tồn tại trên các trang web bị xâm nhập trong thời gian dài.

Các kỹ thuật che giấu được sử dụng làm cho mã khó đọc đối với các công cụ bảo mật tự động. Điều này cho phép nó tiếp tục hoạt động và liên tục rò rỉ dữ liệu từ những khách hàng không nghi ngờ.

Khám phá và Phân tích Chiến dịch Mới

Nhà phân tích bảo mật Himanshu Anand đã xác định chiến dịch cụ thể này thông qua thông tin tình báo mối đe dọa mã nguồn mở. Ông đã truy vết cuộc tấn công về một miền chính là cc-analytics.com, nơi đang lưu trữ tệp JavaScript độc hại.

Khám phá này tiết lộ một nỗ lực phối hợp của các tác nhân đe dọa để triển khai các payload tương tự trên nhiều nền tảng thương mại điện tử. Điều này cho thấy một chiến dịch rộng khắp, ảnh hưởng đến nhiều doanh nghiệp trực tuyến và khách hàng của họ.

Dữ liệu bị đánh cắp được gửi đến các máy chủ do kẻ tấn công kiểm soát. Tại đây, tội phạm thu thập thông tin thanh toán để bán lại hoặc sử dụng cho mục đích gian lận.

Chiến dịch này minh họa cách kẻ tấn công khai thác môi trường thương mại điện tử đáng tin cậy. Mục tiêu là nhắm vào khách hàng vào thời điểm dễ bị tổn thương nhất – khi thực hiện giao dịch mua hàng trực tuyến.

Thông tin chi tiết về quá trình phân tích có thể được tìm thấy trên blog của Himanshu Anand tại: Magecart Skimmer Analysis: From one tweet to a campaign.

Cơ chế Hoạt động của Mã độc JavaScript

Mã JavaScript độc hại hoạt động thông qua một quy trình nhiều giai đoạn, ẩn mình khỏi khách hàng và quản trị viên trang web. Điều này làm cho việc phát hiện trở nên khó khăn.

Quá trình Tiêm Nhiễm Mã độc

Khi một người mua hàng không nghi ngờ truy cập một trang web thương mại điện tử bị xâm nhập, mã của kẻ tấn công sẽ âm thầm tải trong nền thông qua một thẻ script đơn giản. Thẻ này được tiêm vào mã HTML của trang web.

Ví dụ minh họa một thẻ script độc hại được tiêm vào HTML:

<!-- Mã HTML thông thường của trang web -->...<script src="https://cc-analytics.com/js/malicious.js"></script>...<!-- Phần còn lại của trang web -->

Khi đã kích hoạt, script sẽ nhắm mục tiêu vào các trường biểu mẫu cụ thể nơi khách hàng nhập thông tin nhạy cảm. Nó móc nối vào các nút thanh toán và các phần tử biểu mẫu thanh toán, giám sát hoạt động của người dùng để tìm dấu hiệu nhập dữ liệu thanh toán.

Giám sát và Thu thập Dữ liệu (Skimming)

Khi khách hàng nhập số thẻ tín dụng và địa chỉ thanh toán, JavaScript sẽ nắm bắt thông tin này trong thời gian thực. Điều này xảy ra trước khi cổng thanh toán hợp pháp nhận được dữ liệu.

Hành vi trộm cắp diễn ra ngay lập tức thông qua một chức năng rò rỉ dữ liệu tự động. Các chi tiết thanh toán đã bị thu thập được đóng gói vào một yêu cầu và gửi đến hạ tầng của kẻ tấn công.

Kỹ thuật Rò rỉ Dữ liệu (Data Exfiltration)

Dữ liệu được gửi đến các miền do kẻ tấn công kiểm soát, cụ thể là các miền như pstatics.com. Đến thời điểm khách hàng hoàn tất giao dịch mua hàng, thông tin thẻ tín dụng của họ đã được thu thập và gửi đến tội phạm đằng sau chiến dịch tấn công Magecart này.

Tác động và Tính Vô hình của Cuộc Tấn công

Tính chất vô hình của cuộc tấn công là yếu tố khiến nó đặc biệt nguy hiểm. Mã JavaScript chạy ngầm mà không kích hoạt cảnh báo bảo mật của trình duyệt hoặc để lại dấu hiệu thỏa hiệp rõ ràng.

Các kỹ thuật che giấu được sử dụng làm cho mã khó đọc đối với các công cụ bảo mật tự động. Điều này cho phép nó tiếp tục tồn tại trên các trang web bị xâm nhập trong thời gian dài, liên tục rò rỉ dữ liệu từ những khách hàng không nghi ngờ.

Cuộc tấn công này nhấn mạnh tầm quan trọng của bảo mật mạng chủ động. Việc liên tục giám sát và phân tích các mối đe dọa là cần thiết để bảo vệ dữ liệu khách hàng. Các doanh nghiệp cần đầu tư vào các giải pháp an ninh mạnh mẽ để chống lại các biến thể mới của tấn công Magecart.

Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch tấn công Magecart này bao gồm:

• Miền lưu trữ mã độc: cc-analytics.com
• Miền máy chủ điều khiển và kiểm soát (C2) để rò rỉ dữ liệu: pstatics.com

Các tổ chức nên bổ sung các IOC này vào hệ thống phòng thủ của mình để phát hiện và ngăn chặn các cuộc tấn công tương tự.