Mã độc skimmer và backdoor đánh cắp thẻ tín dụng nhắm vào người dùng WordPress

[WhiteHat Team]

Tội phạm mạng ngày càng tinh vi khi sử dụng chiến thuật nhắm mục tiêu vào các trang web thương mại điện tử như WordPress. Cuộc tấn công này bao gồm một skimmer (phần mềm đánh cắp) thẻ tín dụng, một cửa hậu (backdoor) quản lý tệp ẩn và một tập lệnh trinh sát độc hại.

Cuộc tấn công này được thiết kế đặc biệt cho các trang web sử dụng WooCommerce, cho thấy sự tập trung rõ ràng vào các nền tảng thương mại điện tử. Báo cáo cho biết: “Sự kết hợp giữa skimming thẻ tín dụng và quản lý tệp từ xa cho thấy một cuộc tấn công đa chiều nhằm vào cả lợi ích tài chính và kiểm soát dài hạn.”

Cuộc tấn công nhắm vào các trang web thương mại điện tử sử dụng plugin WooCommerce, trong đó lợi dụng skimming thẻ tín dụng (một kỹ thuật đánh cắp thông tin thẻ khi khách hàng nhập vào), đồng thời kiểm soát trang web từ xa.

Điều này cho thấy đây là một cuộc tấn công đa chiều, vừa nhắm đến lợi ích tài chính (đánh cắp thông tin thẻ) vừa nhằm mục đích kiểm soát trang web trong thời gian dài. Nói đơn giản, đây là một dạng tấn công mạng phức tạp, không chỉ lấy cắp tiền mà còn duy trì quyền kiểm soát hệ thống bị tấn công.

Cuộc tấn công bao gồm ba phần chính:

1. Skimmer thẻ tín dụng bằng JavaScript
   • Mã JavaScript được mã hóa phức tạp, tiêm chèn vào trang thanh toán để đánh cắp thông tin thanh toán của khách hàng.
   • Mã được che giấu tinh vi để tránh bị phát hiện và có các biện pháp chống gỡ lỗi.
   • Dữ liệu thẻ tín dụng và thông tin thanh toán bị thu thập, mã hóa, sau đó gửi đến máy chủ của kẻ tấn công dưới dạng một yêu cầu hình ảnh giả mạo.
2. Cửa hậu PHP quản lý tệp
   • Được ngụy trang thành một tệp lõi của WordPress, cho phép tin tặc kiểm soát toàn bộ trang web.
   • Một trong những tệp nguy hiểm nhất là shell PHP, có thể cho phép kẻ tấn công thực thi lệnh hệ thống từ xa.
   • Cửa hậu này có các tính năng như xác thực dựa trên cookie, quyền truy cập toàn bộ hệ thống tệp, di chuyển thư mục và thao tác dấu thời gian.
3. Tập lệnh trinh sát
   • Được đặt ở vị trí thường thấy của các tệp lõi WordPress.
   • Cho phép tin tặc giám sát tình trạng của trang web và xác nhận xem mã độc có còn hoạt động hay không.

Mã độc này có liên quan đến các địa chỉ IP độc hại 104.194.151.47 và 185.247.224.241, cùng các miền độc hại imageresizefix[.]com và imageinthebox[.]com, hiện đã bị các nhà nghiên cứu đưa vào danh sách đen. Báo cáo cho thấy cuộc tấn công nhiều khả năng do một nhóm tội phạm mạng có động cơ tài chính thực hiện, với mục tiêu thu lợi bằng cách thu thập dữ liệu thẻ tín dụng, duy trì quyền truy cập liên tục vào máy chủ để khai thác lâu dài và sử dụng máy chủ bị tấn công làm bàn đạp cho các cuộc tấn công tiếp theo.

Những cuộc tấn công bằng mã độc như thế này có thể gây ra những hậu quả như:

• Tổn thất tài chính đối với cả doanh nghiệp và khách hàng.
• Thiệt hại danh tiếng, làm mất lòng tin của khách hàng.
• Vi phạm tiêu chuẩn PCI, có thể dẫn đến các án phạt và trách nhiệm pháp lý.
• Mất quyền kiểm soát trang web, cho phép tin tặc tiếp tục khai thác dữ liệu.
• Tổn hại đến SEO, làm giảm khả năng hiển thị trang web trên công cụ tìm kiếm.

Để bảo vệ trang web khỏi các cuộc tấn công tương tự, các quản trị viên nên:

• Thường xuyên kiểm tra mã nguồn và tệp hệ thống để phát hiện dấu hiệu bất thường.
• Cập nhật WordPress, plugin và chủ đề lên phiên bản mới nhất.
• Thiết lập tường lửa ứng dụng web (WAF) để chặn các yêu cầu độc hại.
• Giám sát lưu lượng mạng để phát hiện các hành vi truy xuất dữ liệu đáng ngờ.
• Định kỳ sao lưu dữ liệu để đảm bảo có thể khôi phục trang web khi cần thiết.

Các cuộc tấn công mạng ngày càng tinh vi, đặc biệt trong lĩnh vực thương mại điện tử. Để giảm thiểu rủi ro, các doanh nghiệp cần chủ động tăng cường bảo mật, giám sát hệ thống thường xuyên và áp dụng các biện pháp phòng ngừa nhằm bảo vệ dữ liệu khách hàng cũng như đảm bảo hoạt động ổn định.

Theo Security Online​