Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch đánh cắp thông tin thẻ tín dụng quy mô lớn đã được các nhà nghiên cứu an ninh mạng phát hiện. Hoạt động bắt đầu từ tháng 1/2022, chiến dịch này nhắm trực tiếp vào các mạng thanh toán lớn như American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard và UnionPay.
Theo Silent Push, khách hàng doanh nghiệp sử dụng dịch vụ của các nhà cung cấp thanh toán trên là những mục tiêu dễ bị ảnh hưởng nhất.
Tấn công đánh cắp thông tin kỹ thuật số (digital skimming) là hình thức tấn công phía máy khách, khi kẻ xấu bí mật xâm nhập trang thương mại điện tử hoặc cổng thanh toán hợp pháp và chèn mã JavaScript độc hại. Mục tiêu là thu thập thông tin thẻ tín dụng và dữ liệu cá nhân của người dùng khi họ thanh toán trực tuyến mà không hay biết.
Dạng tấn công này thường được gọi chung là Magecart, xuất phát từ các nhóm tội phạm mạng chuyên nhắm mục tiêu vào Magento, sau đó lan rộng sang nhiều nền tảng khác.
Tên miền cdn-cookie[.]com được xác định chứa các tệp JavaScript mã hóa mạnh như “recorder.js” và “tab-gtm.js”. Các trang bán hàng trực tuyến đã vô tình tải những tệp này, tạo điều kiện thu thập trái phép dữ liệu thẻ.
Phần mềm độc hại này còn có nhiều cơ chế che giấu tinh vi. Nó kiểm tra DOM để tìm phần tử “wpadminbar” – thanh công cụ xuất hiện khi quản trị viên WordPress đăng nhập. Nếu phát hiện, mã độc tự xóa và ngừng hoạt động để tránh bị phát hiện. Nó khởi chạy lại mỗi khi DOM thay đổi, tương ứng với thao tác của người dùng.
Khi đang hoạt động, mã độc sẽ kiểm tra xem Stripe có được chọn làm phương thức thanh toán hay không. Nếu có, nó lưu cờ “wc_cart_hash = true” trong localStorage, ghi nhận đã đánh cắp thành công.
Nếu không phát hiện cờ này, mã độc sẽ thay giao diện thanh toán bằng form Stripe giả, buộc nạn nhân nhập số thẻ, ngày hết hạn và mã CVC. Khi dữ liệu được nhập, trang giả báo lỗi để đánh lừa người dùng rằng họ điền sai thông tin.
Silent Push cho biết dữ liệu không chỉ bao gồm thông tin thanh toán mà còn thu thập tên, số điện thoại, email và địa chỉ giao hàng. Mọi dữ liệu bị đánh cắp được gửi qua yêu cầu HTTP POST tới máy chủ lasorie[.]com.
Khi hoàn tất, mã độc lập tức xóa dấu vết, loại bỏ biểu mẫu thanh toán giả và khôi phục form Stripe thật. Sau đó, nó đặt lại cờ “wc_cart_hash = true” nhằm tránh chạy lại trên cùng nạn nhân.
Theo Silent Push, khách hàng doanh nghiệp sử dụng dịch vụ của các nhà cung cấp thanh toán trên là những mục tiêu dễ bị ảnh hưởng nhất.
Tấn công đánh cắp thông tin kỹ thuật số (digital skimming) là hình thức tấn công phía máy khách, khi kẻ xấu bí mật xâm nhập trang thương mại điện tử hoặc cổng thanh toán hợp pháp và chèn mã JavaScript độc hại. Mục tiêu là thu thập thông tin thẻ tín dụng và dữ liệu cá nhân của người dùng khi họ thanh toán trực tuyến mà không hay biết.
Dạng tấn công này thường được gọi chung là Magecart, xuất phát từ các nhóm tội phạm mạng chuyên nhắm mục tiêu vào Magento, sau đó lan rộng sang nhiều nền tảng khác.
Cách thức tấn công tinh vi và khó phát hiện
Silent Push cho biết họ phát hiện chiến dịch sau khi phân tích một tên miền bất thường được liên kết với nhà cung cấp lưu trữ Stark Industries/PQ.Hosting (đã bị trừng phạt), hiện đổi tên thành THE[.]Hosting dưới kiểm soát của WorkTitans BV để né lệnh cấm.Tên miền cdn-cookie[.]com được xác định chứa các tệp JavaScript mã hóa mạnh như “recorder.js” và “tab-gtm.js”. Các trang bán hàng trực tuyến đã vô tình tải những tệp này, tạo điều kiện thu thập trái phép dữ liệu thẻ.
Phần mềm độc hại này còn có nhiều cơ chế che giấu tinh vi. Nó kiểm tra DOM để tìm phần tử “wpadminbar” – thanh công cụ xuất hiện khi quản trị viên WordPress đăng nhập. Nếu phát hiện, mã độc tự xóa và ngừng hoạt động để tránh bị phát hiện. Nó khởi chạy lại mỗi khi DOM thay đổi, tương ứng với thao tác của người dùng.
Khi đang hoạt động, mã độc sẽ kiểm tra xem Stripe có được chọn làm phương thức thanh toán hay không. Nếu có, nó lưu cờ “wc_cart_hash = true” trong localStorage, ghi nhận đã đánh cắp thành công.
Nếu không phát hiện cờ này, mã độc sẽ thay giao diện thanh toán bằng form Stripe giả, buộc nạn nhân nhập số thẻ, ngày hết hạn và mã CVC. Khi dữ liệu được nhập, trang giả báo lỗi để đánh lừa người dùng rằng họ điền sai thông tin.
Silent Push cho biết dữ liệu không chỉ bao gồm thông tin thanh toán mà còn thu thập tên, số điện thoại, email và địa chỉ giao hàng. Mọi dữ liệu bị đánh cắp được gửi qua yêu cầu HTTP POST tới máy chủ lasorie[.]com.
Khi hoàn tất, mã độc lập tức xóa dấu vết, loại bỏ biểu mẫu thanh toán giả và khôi phục form Stripe thật. Sau đó, nó đặt lại cờ “wc_cart_hash = true” nhằm tránh chạy lại trên cùng nạn nhân.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
