WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Kỹ thuật tấn công skimmer sử dụng WebSocket để tránh bị phát hiện
Các nhà nghiên cứu vừa phát hiện ra một kỹ thuật tấn công skimmer mới nhắm mục tiêu vào các cửa hàng trực tuyến để trích xuất dữ liệu.
Theo các nhà nghiên cứu từ Akamai, những kẻ tấn công đang sử dụng diễn đàn thẻ tín dụng giả mạo và WebSocket để lấy cắp thông tin tài chính và thông tin cá nhân của người dùng.
“Các cửa hàng trực tuyến đang gia tăng việc sử dụng quy trình thanh toán của các nhà cung cấp bên thứ ba, có nghĩa là họ không xử lý dữ liệu thẻ tín dụng trong cửa hàng của mình. Để vượt qua điều này, kẻ tấn công tạo ra một biểu mẫu thẻ tín dụng giả và đưa nó vào trang thanh toán của ứng dụng. Bản thân quá trình trích xuất dữ liệu được WebSocket thực hiện, cung cấp cho kẻ tấn công một con đường trích xuất dữ liệu âm thầm hơn”.
Tin tặc sử dụng một skimmer phần mềm để đưa bộ tải vào nguồn trang dưới dạng tập lệnh nội tuyến. Sau khi thực thi, một tệp JavaScript độc hại sẽ được yêu cầu từ máy chủ C2 (tại https[:]//tags-manager[.]com/gtags/script2).
Khi tải tập lệnh từ máy chủ bên ngoài, skimmer lưu trữ session-ID đã tạo và địa chỉ IP của máy khách tại LocalStorage của trình duyệt.
Những kẻ tấn công tận dụng API của Cloudflare để lấy địa chỉ IP của người dùng, sau đó sử dụng kết nối WebSocket để lấy thông tin nhạy cảm từ các trang liên quan đến các trang đăng ký tài khoản mới, đăng nhập và kiểm tra.
Khía cạnh đặc biệt của cuộc tấn công này là việc sử dụng WebSocket, thay vì các thẻ HTML hoặc các yêu cầu XHR, để trích xuất thông tin từ trang web bị xâm nhập khiến kỹ thuật này bí mật hơn. Việc sử dụng WebSocket cho phép qua mặt rất nhiều chính sách CSP.
Các chuyên gia nhận thấy đối với những cửa hàng trực tuyến xử lý quy trình thanh toán thông qua nhà cung cấp bên thứ ba, skimmer sẽ tạo biểu mẫu thẻ tín dụng giả trên trang trước khi được chuyển hướng đến nhà cung cấp bên thứ ba.
Theo các nhà nghiên cứu từ Akamai, những kẻ tấn công đang sử dụng diễn đàn thẻ tín dụng giả mạo và WebSocket để lấy cắp thông tin tài chính và thông tin cá nhân của người dùng.
“Các cửa hàng trực tuyến đang gia tăng việc sử dụng quy trình thanh toán của các nhà cung cấp bên thứ ba, có nghĩa là họ không xử lý dữ liệu thẻ tín dụng trong cửa hàng của mình. Để vượt qua điều này, kẻ tấn công tạo ra một biểu mẫu thẻ tín dụng giả và đưa nó vào trang thanh toán của ứng dụng. Bản thân quá trình trích xuất dữ liệu được WebSocket thực hiện, cung cấp cho kẻ tấn công một con đường trích xuất dữ liệu âm thầm hơn”.
Tin tặc sử dụng một skimmer phần mềm để đưa bộ tải vào nguồn trang dưới dạng tập lệnh nội tuyến. Sau khi thực thi, một tệp JavaScript độc hại sẽ được yêu cầu từ máy chủ C2 (tại https[:]//tags-manager[.]com/gtags/script2).
Khi tải tập lệnh từ máy chủ bên ngoài, skimmer lưu trữ session-ID đã tạo và địa chỉ IP của máy khách tại LocalStorage của trình duyệt.
Những kẻ tấn công tận dụng API của Cloudflare để lấy địa chỉ IP của người dùng, sau đó sử dụng kết nối WebSocket để lấy thông tin nhạy cảm từ các trang liên quan đến các trang đăng ký tài khoản mới, đăng nhập và kiểm tra.
Khía cạnh đặc biệt của cuộc tấn công này là việc sử dụng WebSocket, thay vì các thẻ HTML hoặc các yêu cầu XHR, để trích xuất thông tin từ trang web bị xâm nhập khiến kỹ thuật này bí mật hơn. Việc sử dụng WebSocket cho phép qua mặt rất nhiều chính sách CSP.
Các chuyên gia nhận thấy đối với những cửa hàng trực tuyến xử lý quy trình thanh toán thông qua nhà cung cấp bên thứ ba, skimmer sẽ tạo biểu mẫu thẻ tín dụng giả trên trang trước khi được chuyển hướng đến nhà cung cấp bên thứ ba.
Theo Security Affairs