Tin tặc chèn skimmer vào ảnh nhằm đánh cắp dữ liệu thẻ người dùng

[Ginny Hà]

Một nhóm hacker đã tìm cách che giấu skimmer (thiết bị đánh cắp thông tin) trong siêu dữ liệu EXIF của một hình ảnh, sau đó tìm cách tải lên các cửa hàng trực tuyến.

Mặc dù các file hình ảnh từ lâu đã bị hacker lợi dụng để chèn mã độc, nhưng việc chèn thêm skimmer thì khá mới mẻ. Các đoạn script được tạo ra để đánh cắp dữ liệu thẻ tín dụng và thông tin nhạy cảm khác mà người dùng nhập vào các trang web thương mại điện tử bị xâm nhập. Những dữ liệu này sau đó được gửi tới những kẻ đứng sau chiến dịch.

Theo các nhà nghiên cứu của Malwarebytes, đoạn JavaScript phát hiện ban đầu được tải lên từ một cửa hàng trực tuyến chạy plugin WooC Commerce trên WordPress. Đoạn mã độc hại đã được thêm vào một script lưu trữ bởi người bán.

Script sẽ tải một file favicon giống hệt với favicon mà cửa hàng bị xâm nhập sử dụng (logo thương hiệu của họ). Skimmer được ẩn giấu trong trường dữ liệu của chính hình ảnh này.

Skimmer sẽ lấy nội dung của các trường đầu vào nơi người mua hàng trực tuyến nhập tên, địa chỉ thanh toán và chi tiết thẻ tín dụng.

Skimmer cũng mã hóa dữ liệu thu được, đảo chuỗi và gửi thông tin đến máy chủ bên ngoài dưới dạng tệp hình ảnh, thông qua request POST.

“Hacker có lẽ đã quyết định dùng theme ảnh để che giấu dữ liệu thu thập thông qua file favicon.ico”, Malebebytes cho biết.

Trong quá trình điều tra, các nhà nghiên cứu đã tìm thấy một bản sao mã nguồn của bộ công cụ skimmer trong một thư mục mở của một trang bị xâm nhập. Từ đó phân tích cách thức tệp favicon.ico được chèn script.

Malwarebytes cũng phân tích một phiên bản skimmer trước đó, thiếu phần obfuscation so với phiên bản mới nhưng có cùng tính năng. Các chuyên gia cho rằng có các công cụ này thể có liên quan tới Magecart – nhóm hacker chuyên tấn công các cửa hàng trực tuyến.

Theo SecurityWeek​

 

chưa hiểu lắm luôn, có bạn nào giải thích hộ ko anh em? mình hiểu là 1 hacker sở hữu 1 web WordPress , dùng plugin WooC Commerce , hacker này nhúng mã js vào plugin để download favicon (file thực thi mã dc giấu trong ảnh làm giống favicon )

"Skimmer sẽ lấy nội dung của các trường đầu vào nơi người mua hàng trực tuyến nhập tên, địa chỉ thanh toán và chi tiết thẻ tín dụng." --> ủa cái này lạ nếu muốn lấy thông tin user thì thằng hacker này cần gì cái Skimmer này, vì website này của nó mà. hay là cái website này bị hacker vào dc admin rồi nhúng code?

 

Theo mình hiểu thì cái này là hacker chèn mã độc vào một plugin rồi đưa lên cửa hàng, sau đó các lập trình viên của web khác sẽ sử dụng các plugin này trên web của họ và khi đó hacker sẽ lấy được thông tin từ các web này.

 

chưa hiểu lắm luôn, có bạn nào giải thích hộ ko anh em? mình hiểu là 1 hacker sở hữu 1 web WordPress , dùng plugin WooC Commerce , hacker này nhúng mã js vào plugin để download favicon (file thực thi mã dc giấu trong ảnh làm giống favicon )

"Skimmer sẽ lấy nội dung của các trường đầu vào nơi người mua hàng trực tuyến nhập tên, địa chỉ thanh toán và chi tiết thẻ tín dụng." --> ủa cái này lạ nếu muốn lấy thông tin user thì thằng hacker này cần gì cái Skimmer này, vì website này của nó mà. hay là cái website này bị hacker vào dc admin rồi nhúng code?

Mình hiểu đơn giản là như này:
1 Bạn là chủ sở hữu của 1 trang web Bornhub dùng WordPress, trên đó có bán mặt hàng là các video học tập của WhiteHat Admin
2 Bạn cài đặt 1 plugin hỗ trợ trên internet (ví dụ WooC Commerce) vô web của mình
3 Plugin này có mã độc và ngụy trang trong favicon kèm các script độc hại
4 Khách hàng của bạn vào Bornhub mua khóa học và sẽ nhập các thông tin thẻ để mua hàng
5 Script độc hại lấy trộm thông tin thẻ