Hacker đánh cắp thông tin thẻ tín dụng bằng cách giấu mã độc trong Metadata của hình ảnh

Các kỹ thuật tấn công mạng ngày càng trở nên tinh vi, phức tạp hơn và mới đây, các chuyên gia bảo mật của Malwarebytes đã phát hiện ra một nhóm tội phạm mạng lợi dụng metadata của các file ảnh để giấu mã độc nhằm lén lút đánh cắp thông tin thẻ thanh toán của khách truy cập trên các trang web bị hack.



“Chúng tôi đã tìm thấy mã skimming ẩn trong metadata của một file ảnh (một kiểu kỹ thuật giấu tin steganography ) và phát hiện ra nó được lén lút tải xuống bởi các cửa hàng trực tuyến bị xâm nhập,” các nhà nghiên cứu của Malwarebytes cho biết .



“Kế hoạch tấn công này sẽ không thể thực thi nếu không có sự tham gia của một thủ thuật giúp trích xuất các dữ liệu trái phép ra ngoài. Và một lần nữa, những kẻ tấn công này đã sử dụng kỹ thuật ngụy trang file ảnh để thu lợi từ những thông tin mà chúng đánh cắp được.”



Chiến thuật được những kẻ tấn công này sử dụng là web skimming hay tấn công Magecart . Với kỹ thuật này, chúng sẽ áp dụng các phương thức khác nhau để chèn mã JavaScript vào các kho lưu trữ dữ liệu AWS S3 bucket có cấu hình sai và khai thác chính sách bảo mật nội dung (CSP) nhằm chuyển dữ liệu trái phép tới tài khoản Google Analytics mà chúng kiểm soát.



Sử dụng Steganography để ẩn mã Skimmer trong EXIF



Lợi dụng sự phổ biến của các hình thức mua sắm trực tuyến, những cuộc tấn công này hoạt động bằng cách chèn mã độc vào một trang web bị xâm nhập. Mã độc này sau đó sẽ lén lút gửi dữ liệu của người dùng đến máy chủ của kẻ tấn công và giúp chúng truy cập vào thông tin thanh toán của người mua hàng.



Trong chiến dịch kéo dài 1 tuần này, Malwarebytes đã phát hiện ra các skimmer không chỉ xuất hiện trên một cửa hàng trực tuyến chạy plugin WooC Commerce WordPress mà nó còn có trong dữ liệu EXIF ​​(Định dạng file ảnh có thể chuyển đổi) của hình ảnh favicon trên một tên miền đáng ngờ (cddn.site).



Mỗi hình ảnh đều có lưu trữ các thông tin kỹ thuật kèm theo, chẳng hạn như thông tin về nhà sản xuất, mẫu máy ảnh, hay thời gian của ảnh chụp, vị trí, độ phân giải, camera setting, cùng với một số thông tin khác. Và về cơ bản thì dữ liệu EXIF (metadata) sẽ chứa tất cả thông số kỹ thuật này.



Lợi dụng điều ​​này, kẻ tấn công đã tiến hành chèn mã JavaScript vào metadata và giấu nó ở phần “Copyright” của hình ảnh favicon.



“Như các skimmer khác, nó cũng đánh cắp các thông tin đăng nhập của người mua hàng trực tuyến như tên, địa chỉ thanh toán và thông tin thẻ tín dụng của họ,” các chuyên gia này cho biết.



Ngoài việc mã hóa các thông tin đã thu thập được bằng Base64 và đảo ngược chuỗi đầu ra (output string), các thông tin bị đánh cắp này còn được chuyển ra ngoài dưới dạng file ảnh để tránh bị phát hiện.



Các chuyên gia của Malwarebytes cho rằng cuộc tấn công này có thể liên quan đến nhóm tin tặc Magecart Group 9. Và mã JavaScript cho skimmer bị xáo trộn bằng cách sử dụng WiseLoop PHP JS Obfuscator library.



Đây không phải là lần đầu tiên các nhóm tin tặc Magecart sử dụng hình ảnh làm vectơ tấn công để xâm nhập vào các trang web thương mại điện tử. Trước đó vào tháng Năm, một số trang web cũng bị phát hiện đang tự động tải một favicon độc hại trên các trang thanh toán và thay thế các hình thức thanh toán hợp pháp bằng một hình thức gian lận khác nhằm đánh cắp thông tin thẻ người dùng.



Lợi dụng giao thức DNS để đánh cắp dữ liệu từ trình duyệt web



Tuy nhiên, các cuộc tấn công đánh cắp dữ liệu không chỉ giới hạn trong các kỹ thuật chèn mã skimmer độc hại.



Trong một nghiên cứu mới đây của Jessie Li, kẻ tấn công còn có thể đánh cắp dữ liệu từ trình duyệt web bằng cách lợi dụng dns-prefetch (tạm dịch: nạp trước DNS) – là một phương pháp giúp giảm latency (độ trễ) của trang web bằng cách xử lý các DNS lookup trên các tên miền cross-origin trước khi các tài nguyên (ví dụ: file, link) được yêu cầu.



Được gọi là “ browsertunnel ,” phần mềm mã nguồn mở này bao gồm một thư viện JavaScript phía máy khách để mã hóa, truyền đi các tin nhắn và một máy chủ có chức năng giải mã các tin nhắn này.



Bản thân các tin nhắn là các chuỗi tùy ý được mã hóa trong một tên miền phụ của tên miền cấp cao (top domain) đang được phân giải bởi trình duyệt web. Sau đó, công cụ này sẽ lắng nghe các truy vấn DNS, thu thập các tin nhắn được gửi đến và giải mã chúng để trích xuất các dữ liệu có liên quan.



Hay nói cách khác, ‘browsertunnel’ có thể được sử dụng để tích lũy thông tin nhạy cảm của người dùng khi họ đang truy cập web và sau đó đưa những thông tin này đến máy chủ bằng cách ngụy trang nó dưới dạng lưu lượng DNS.



“Lưu lượng DNS không xuất hiện trong các công cụ debug của trình duyệt web, cũng  không bị chặn bởi Chính sách bảo mật nội dung (CSP), và thường không bị kiểm tra bởi tường lửa hay máy chủ proxy của công ty. Và vì thế, nó trở thành phương tiện lý tưởng để đánh cắp dữ liệu trái phép trong các môi trường bị hạn chế,” Li nói.



Theo The Hacker News
The post Hacker đánh cắp thông tin thẻ tín dụng bằng cách giấu mã độc trong Metadata của hình ảnh appeared first on SecurityDaily .