Hacker khai thác lỗ hổng zero-day trong Magento để trộm cắp thẻ tín dụng
Các tin tặc đang tăng cường khai thác một lỗ hổng chưa rõ chi tiết để thu thập thông tin thẻ thanh toán từ các trang web thương mại điện tử có sử dụng Magento, nền tảng thương mại điện tử phổ biến nhất thuộc sở hữu của eBay. Các nhà nghiên cứu bảo mật tại Sucuri vẫn đang điều tra các mũi tấn ...
Các tin tặc đang tăng cường khai thác một lỗ hổng chưa rõ chi tiết để thu thập thông tin thẻ thanh toán từ các trang web thương mại điện tử có sử dụng Magento, nền tảng thương mại điện tử phổ biến nhất thuộc sở hữu của eBay.
Các nhà nghiên cứu bảo mật tại Sucuri vẫn đang điều tra các mũi tấn công, nhưng họ tin rằng tội phạm mạng đang lây nhiễm mã độc vào các tập tin lõi Magento hoặc một số module hoặc phần mở rộng được sử dụng rộng rãi để ăn cắp dữ liệu thẻ thanh toán.
Quay trở lại thời điểm tháng 4, một lỗ hổng thực thi mã từ xa quan trọng trong Magento cho phép tin tặc xâm nhập hoàn toàn bất kỳ cửa hàng trực tuyến nào và do đó đạt được quyền truy cập vào dữ liệu thẻ tín dụng và tài chính, thông tin cá nhân liên quan đến khách hàng.
Ăn cắp thẻ tín dụng?
Hiện thời, nhà nghiên cứu mã độc cao cấp tại Sucuri, Peter Gramantik, đã tìm thấy một script tấn công đã trộm cắp nội dung của tất cả các yêu cầu POST và xác định dữ liệu thẻ thanh toán có giá trị trước khi lưu trữ nó trong một mật mã chỉ kẻ tấn công mới có thể giải mã.
Hơn nữa, để tránh bị phát hiện, các công cụ tấn công kèm theo chức năng thanh lọc và xóa sạch dấu vết để che giấu người dùng.
“Điều đáng buồn là bạn không biết rằng nó ảnh hưởng đến bạn cho đến khi quá muộn”, Gramantik viết trong một bài đăng blog, “trường hợp xấu nhất là mọi thứ đều không được phát hiện cho đến khi chúng xuất hiện trên báo cáo ngân hàng của bạn”.
Gramantik cho biết ông phát hiện ra những biến thể khác nhau, nhưng biến thể PUBLIC_KEY chỉ ra rằng tác giả phần mềm độc hại có khả năng đứng sau một nhóm chuyên ăn cắp thẻ tín dụng.
Những kẻ tấn công lưu trữ các thông tin thanh toán trong tập tin hình ảnh giả được quy định tại đầu của script. Hơn nữa, những kẻ tấn công thay đổi dấu thời gian tạo ra tập tin hình ảnh và thêm một tiêu đề JPEG giả.
Phương pháp này có điểm gì nổi bật?
Thật trùng hợp, nếu ai đó cố gắng để tải tập tin “hình ảnh” này thông qua trình duyệt web, “tất cả những gì người truy cập nhìn thấy là hình ảnh bị hỏng” và không có gì hơn.
Tuy nhiên, những kẻ lừa đảo có thể tải về tập tin “hình ảnh” đầy đủ và giải mã dữ liệu bị đánh cắp bằng cách sử dụng Public Key (khóa công khai) nhằm thu thập tất cả các thông tin thanh toán được xử lý bởi trang web thương mại điện tử Magento.
Nằm trong top được một triệu trang web thương mại điện tử sử dụng do Alexa xếp hạng, Magento đã trở thành một mục tiêu có giá trị cho những kẻ tấn công.
THN