Sử dụng phiên bản Magento cũ, hơn 2800 shop thương mại điện tử bị tin tặc tấn công
Theo một nghiên cứu mới đây, làn sóng tấn công mạng nhắm tới các nhà bán lẻ sử dụng nền tảng thương mại điện tử Magento 1.x từ tháng 9 đã được phát hiện là do một nhóm tấn công duy nhất đứng sau điều khiển.
“Nhóm tin tặc này đã thực hiện một loạt các cuộc tấn công Magecart khác nhau. Chúng thường cùng lúc xâm nhập vào một lượng lớn các trang web thông qua các cuộc tấn công chuỗi cung ứng như tấn công Adverline, hoặc lợi dụng các mã khai thác như trong các cuộc tấn công Magento 1 vào tháng 9,” RiskIQ cho biết trong một bài phân tích.
Chiến dịch tấn công này được gọi chung là Cardbleed. Nó nhắm tới ít nhất 2.806 cửa hàng trực tuyến chạy trên nền tảng Magento 1.x, mà đã hết hiệu lực vào ngày 30 tháng 6 vừa qua.
Chèn e-skimmer vào các trang web mua sắm để đánh cắp thông tin thẻ tín dụng là một chiến thuật kinh điển của Magecart, nhóm hacker chuyên tấn công hệ thống các cửa hàng trực tuyến.
Các skimmer thẻ tín dụng ảo này, hay còn biết đến như là các cuộc tấn công formjacking, thường là mã JavaScript mà những kẻ tấn công Magecart lén lút cấy vào trang web thương mại điện tử, và thường là các trang thanh toán, được thiết kế để đánh cắp thông tin thẻ của khách hàng trong thời gian thực và chuyển thông tin đó đến máy chủ của kẻ tấn công từ xa.
Nhưng trong vài tháng qua, chúng đã tăng cường phát triển và giấu mã code độc hại bên trong metadata của hình ảnh. Chúng thậm chí còn thực hiện các cuộc tấn công IDN homograph để cài các web skimmer được giấu trong file favicon của trang web.
Cardbleed được phát hiện đầu tiên bởi Sansec. Nó hoạt động bằng cách sử dụng các tên miền cụ thể để tương tác với admin panel (bảng quản trị) của Magento, và sau đó lợi dụng tính năng ‘Magento Connect’ để tải xuống và cài đặt một mã độc có tên là “mysql.php”. Mã độc này sau đó sẽ tự động xóa khi mã skimmer được thêm vào “prototype.js.”
Theo RiskIQ, tất cả các cuộc tấn công đều có liên quan tới nhóm tin tặc Magecart Group 12, dựa trên sự tương đồng về cơ sở hạ tầng và các kỹ thuật mà chúng sử dụng, từ tấn công Adverline vào tháng 1 năm 2019 cho đến các cuộc tấn công trang web bán lại vé Olympics vào tháng 2 năm 2020.
Hơn nữa, skimmer được sử dụng trong các vụ tấn công trên là một biến thể của skimmer Ant & Cockroach được phát hiện lần đầu vào tháng 8 năm 2019. Skimmer này được đặt tên theo một hàm “ant_cockroach ()”, và một biến “ant_check” được tìm thấy trong phần code.
Điều thú vị là một trong các tên miền (myicons [.]net) được nhóm nghiên cứu phát hiện cũng có mối liên hệ chặt chẽ với một chiến dịch tấn công khác vào tháng 5. Được biết chiến dịch này đã sử dụng một file favicon Magento để giấu skimmer trên các trang thanh toán, và tải một biểu mẫu thanh toán giả để đánh cắp thông tin của người dùng.
Ngay khi các tên miền độc hại bị gỡ xuống, Group 12 đã nhanh chóng tìm ra cách hoán đổi các tên miền mới để tiếp tục chiến dịch skimming của mình.
“Kể từ khi chiến dịch Cardbleed bị công khai, nhóm tấn công đã nhanh chóng thay đổi cơ sở hạ tầng của chúng. Những tin tặc này đã chuyển sang tải skimmer từ ajaxcloudflare [.]com, và chuyển phần dữ liệu đánh cắp được sang một tên miền mới đăng ký gần đây, consoler [.]in,” các nhà nghiên cứu của RiskIQ cho biết.
Theo chuyên gia bảo mật Jordan Herman, những cuộc tấn công trên là dấu hiệu cho thấy các nhóm tin tặc đang tích cực phát triển và cải tiến phương thức tấn công của mình. Chúng sử dụng mọi phương thức khác nhau để chèn skimmer lên hệ thống nạn nhân, và xáo trộn code để tránh bị phát hiện.
“Chúng tôi thực hiện nghiên cứu trên do nhận thấy sự gia tăng ngày càng nhiều các cuộc tấn công liên quan đến phiên bản Magento 1, mà sẽ hết hiệu lực vào tháng 6 này,” Herman cho biết. “Theo chúng tôi, biện pháp giảm thiểu tốt nhất hiện nay là nâng cấp lên phiên bản Magento 2, mặc dù chi phí nâng cấp có thể khá đắt đỏ với một số nhà cung cấp nhỏ lẻ.”
“Ngoài ra cũng có một công ty tên là Mage One đang hỗ trợ vá lỗi trên Magento 1. Họ đã phát hành một bản vá để khắc phục một lỗ hổng bị khai thác bởi tin tặc vào cuối tháng 10 vừa qua. Tuy nhiên, cách tốt nhất để ngăn chặn những kiểu tấn công trên là cho phép các cửa hàng e-commerce có toàn bộ thông tin chi tiết về phần code đang chạy trên trang web của họ, để họ có thể xác định các phiên bản phần mềm đã hết hiệu lực, cũng như phát hiện kịp thời các lỗ hổng có nguy cơ dẫn đến tấn công Magecart trong tương lai,” Herman cho biết thêm.
Theo The Hacker News
Thegioibantin.com | Vina-Aspire News