Phần mềm độc hại, được gọi là web skimmer, hoặc tập lệnh Magecart, đã được phát hiện trên các cửa hàng trực tuyến vào tháng 6 và tháng 9 năm nay bởi công ty bảo mật Sanguine Security (SangSec) của Hà Lan.
Mặc dù hình thức tấn công cụ thể này không được triển khai rộng rãi, nhưng sự phát hiện các hình thức tấn công mới của nó cho thấy rằng các tội phạm mạng đang liên tục phát triển các thủ đoạn tinh vi để đánh lừa người dùng.
Tập lệnh Magecart này sử dụng một kỹ thuật được gọi là kỹ thuật giấu tin (steganography). Steganography đề cập đến việc ẩn thông tin bên trong một định dạng đa phương tiện, ví dụ như ẩn văn bản bên trong hình ảnh, ẩn hình ảnh bên trong video, v.v.).
Trong thế giới của các cuộc tấn công bằng phần mềm độc hại, steganography thường được sử dụng như một cách để triển khai các mã độc bằng cách giấu các tệp lệnh độc hại bên trong các tệp hình ảnh.
Trong những năm qua, hình thức tấn công steganography phổ biến nhất là để ẩn các các mã độc hại bên trong các tệp hình ảnh, thường được lưu trữ ở định dạng PNG hoặc JPG.
Tội phạm mạng sẽ thêm mã độc vào bên trong hình ảnh, khi người dùng tải xuống và mở tệp hình ảnh có chứa mã độc này, các lệnh độc hại sẽ được thực thi trên hệ thống.
Các loại phần mềm độc hại web skimmers thường sẽ sử dụng kỹ thuật steganography để giấu các mã JavaScript độc hại. Các mã JavaScript độc hại này thường được giấu trong logo trang web, hình ảnh sản phẩm hoặc biểu tượng yêu thích để ẩn mã độc.
Trong phân tích mới đây của các nhà nghiên cứu bảo mật, tội phạm mạng gần đây đã sử dụng kỹ thuật steganography để ẩn các mã độc vào tệp hình ảnh định dạng SVG thay vì định dạng PNG hoặc JPG như trước đó.
Định dạng SVG tải và vẽ đồ họa với sự trợ giúp của tọa độ và các hàm toán học và chúng là định dạng dựa trên văn bản chứ không phải là định dạng nhị phân, về lý thuyết, sẽ làm cho việc phát hiện các mã độc hại dễ dàng hơn so với các tập tin có định dạng PNG và JPG.
{
}
Tuy nhiên nhà nghiên cứu SangSec nói rằng, tin tặc đã tìm ra một thủ thuật mới để tránh sự phát hiện của các công cụ phát hiện phần mềm độc hại. Nhà nghiên cứu cho biết:
“Mã độc hại giả dạng thành phần <svg> trong HTML và sử dụng thành phần <path> để làm vùng chứa cho mã độc. Bản thân mã độc được giấu bằng cách sử dụng cú pháp rất giống với việc sử dụng đúng cú pháp của thành phần <svg>.”
“Mặc dù trước đây web skimmers đã thêm mã độc hại của họ vào các tệp tưởng chừng như vô hại như tệp hình ảnh, nhưng đây là lần đầu tiên mã độc được xây dựng như một hình ảnh hoàn toàn hợp lệ. Kết quả là các máy quét bảo mật không còn có thể tìm thấy phần mềm độc hại chỉ bằng cách kiểm tra xem các tệp hình ảnh có cú pháp hợp lệ hay không,” SangSec diễn giải.
SangSec cho biết họ đã phát hiện thấy các băng nhóm phần mềm độc hại đang thử nghiệm kỹ thuật này vào tháng 6 và trên các trang thương mại điện tử vào tháng 9, với mã độc hại ẩn bên trong các biểu tượng chia sẻ thông tin lên mạng xã hội như Google, Facebook, Twitter, Instagram, YouTube và Pinterest.
Trên các trang web đã bị tin tặc cấy mã độc, khi người dùng truy cập vào trang thanh toán, một thành phần được gọi là bộ giải mã sẽ đọc mã độc hại ẩn bên trong các biểu tượng chia sẻ mạng xã hội và sau đó tải một keylogger ghi lại và trích xuất chi tiết thẻ được nhập trong biểu mẫu thanh toán.
Với các loại mã độc dựa trên web-skimmer, người dùng rất ít có khả năng nhận biết, và cực kỳ khó để phát hiện. Hơn nữa, người dùng mua sắm trên một trang web không có cách nào có thể biết được mức độ an toàn của một trang web và liệu chủ sở hữu của trang web có đầu tư vào bảo mật hay không.
Cách đơn giản nhất để người mua hàng có thể tự bảo vệ mình khỏi các cuộc tấn công của web skimmer là sử dụng thẻ ảo được thiết kế để thanh toán một lần.
Các thẻ này hiện được cung cấp bởi một số ngân hàng hoặc ứng dụng thanh toán và chúng hiện là cách tốt nhất để đối phó với tấn công web skimmer vì ngay cả khi những kẻ tấn công ghi lại chi tiết giao dịch, dữ liệu thẻ sẽ vô dụng vì nó chỉ được tạo cho một giao dịch.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment