Theo một nghiên cứu mới đây, làn sóng tấn công mạng nhắm tới các nhà bán lẻ sử dụng nền tảng thương mại điện tử Magento 1.x từ tháng 9 đã được phát hiện là do một nhóm tấn công duy nhất đứng sau điều khiển.
“Nhóm tin tặc này đã thực hiện một loạt các cuộc tấn công Magecart khác nhau. Chúng thường cùng lúc xâm nhập vào một lượng lớn các trang web thông qua các cuộc tấn công chuỗi cung ứng như tấn công Adverline, hoặc lợi dụng các mã khai thác như trong các cuộc tấn công Magento 1 vào tháng 9,” RiskIQ cho biết trong một bài phân tích.
Chiến dịch tấn công này được gọi chung là Cardbleed. Nó nhắm tới ít nhất 2.806 cửa hàng trực tuyến chạy trên nền tảng Magento 1.x, mà đã hết hiệu lực vào ngày 30 tháng 6 vừa qua.
Chèn e-skimmer vào các trang web mua sắm để đánh cắp thông tin thẻ tín dụng là một chiến thuật kinh điển của Magecart, nhóm hacker chuyên tấn công hệ thống các cửa hàng trực tuyến.
Các skimmer thẻ tín dụng ảo này, hay còn biết đến như là các cuộc tấn công formjacking, thường là mã JavaScript mà những kẻ tấn công Magecart lén lút cấy vào trang web thương mại điện tử, và thường là các trang thanh toán, được thiết kế để đánh cắp thông tin thẻ của khách hàng trong thời gian thực và chuyển thông tin đó đến máy chủ của kẻ tấn công từ xa.
Nhưng trong vài tháng qua, chúng đã tăng cường phát triển và giấu mã code độc hại bên trong metadata của hình ảnh. Chúng thậm chí còn thực hiện các cuộc tấn công IDN homograph để cài các web skimmer được giấu trong file favicon của trang web.
Cardbleed được phát hiện đầu tiên bởi Sansec. Nó hoạt động bằng cách sử dụng các tên miền cụ thể để tương tác với admin panel (bảng quản trị) của Magento, và sau đó lợi dụng tính năng ‘Magento Connect’ để tải xuống và cài đặt một mã độc có tên là “mysql.php”. Mã độc này sau đó sẽ tự động xóa khi mã skimmer được thêm vào “prototype.js.”
Theo RiskIQ, tất cả các cuộc tấn công đều có liên quan tới nhóm tin tặc Magecart Group 12, dựa trên sự tương đồng về cơ sở hạ tầng và các kỹ thuật mà chúng sử dụng, từ tấn công Adverline vào tháng 1 năm 2019 cho đến các cuộc tấn công trang web bán lại vé Olympics vào tháng 2 năm 2020.
Hơn nữa, skimmer được sử dụng trong các vụ tấn công trên là một biến thể của skimmer Ant