Một chiến dịch kiểu Magecart mới đã xuất hiện, sử dụng các injection JavaScript độc hại để đánh cắp dữ liệu thanh toán từ các biểu mẫu thanh toán trực tuyến. Mối đe dọa này được phát hiện sau khi nhà nghiên cứu bảo mật sdcyberresearch đăng một tweet cảnh báo về một chiến dịch đang hoạt động được lưu trữ trên cc-analytics[.]com.

Phân tích sâu hơn cho thấy một script được che giấu rất phức tạp, có khả năng móc nối vào các trường thanh toán, thu thập thông tin thẻ tín dụng và thông tin thanh toán, sau đó đánh cắp dữ liệu đến một miền do kẻ tấn công kiểm soát. Đây là một ví dụ điển hình về kỹ thuật skimming tinh vi.

Kỹ Thuật Che Giấu Mã Độc và Cơ Chế Hoạt Động

Cơ Chế Che Giấu Mã Độc

Về cơ bản, mã độc này định nghĩa một hàm tên là _0x1B3A1. Hàm này giải mã các chuỗi được mã hóa theo định dạng hex thông qua các thao tác thay thế bằng biểu thức chính quy (regex) lặp lại và một quy trình chuyển đổi cơ số tùy chỉnh.

Ngay sau khi giải mã, các chuỗi này được thực thi ngay lập tức bằng hàm eval() của JavaScript. Phương pháp này gây khó khăn cho việc phân tích tĩnh.

Các nhà phân tích đã nhanh chóng gỡ bỏ lớp che giấu bằng cách thêm debugger; vào công cụ dành cho nhà phát triển của trình duyệt hoặc in chuỗi payload gốc trong Python. Các dịch vụ giải mã tự động như Obf-IO cũng đơn giản hóa quá trình này, làm lộ ra logic JavaScript rõ ràng.

Thu Thập và Đánh Cắp Dữ Liệu

Sau khi được làm sạch, script mã độc Magecart này bao gồm hai thành phần chính. Thành phần đầu tiên là một hàm thu thập dữ liệu, lắng nghe các thay đổi trên các phần tử biểu mẫu thanh toán (được xác định là checkout__input) và các lần nhấp vào nút chọn thẻ tín dụng.

Thành phần thứ hai là một hàm đánh cắp dữ liệu có tên sendStolenData(). Khi người dùng nhập một số thẻ có độ dài lớn hơn 14 chữ số, skimmer sẽ đóng gói các trường cardNumber và billingInfo vào một đối tượng FormData.

Dữ liệu này sau đó được gửi đi qua phương thức POST tới địa chỉ https://www.pstatics.com/i. Cách tiếp cận đơn giản nhưng hiệu quả này phản ánh các chiến thuật Magecart cổ điển, mặc dù cơ chế injection và cấu trúc tên miền đã có sự phát triển.

Hạ Tầng Tấn Công và Các Miền Liên Quan

Mở Rộng Phạm Vi Hạ Tầng

Việc phân tích từ miền ban đầu cc-analytics[.]com đã tiết lộ một dấu vết hạ tầng rộng lớn hơn. Các tìm kiếm trên URLScan.io cho cc-analytics.com đã phát hiện hàng chục trang web thương mại điện tử bị xâm nhập, chứa các tham chiếu <script src="https://www.cc-analytics.com/app.js"></script>, xác nhận việc triển khai rộng rãi của mã độc Magecart.

Các bản ghi mạng đã xác định địa chỉ IP lưu trữ là 45.61.136.141. Hồ sơ WHOIS của IP này liên kết với một nhà cung cấp bulletproof hosting, cho phép kẻ tấn công duy trì hoạt động lâu dài.

Các Miền Phân Phối Mã Độc

Các hoạt động truy vấn DNS thụ động và URLScan tiếp theo đã phơi bày thêm nhiều miền khác cung cấp các payload gần như giống hệt nhau. Các miền này bao gồm:

• jgetjs.com
• getnjs.com
• getvjs.com
• getejs.com
• utilanalytics.com

Việc chia sẻ cùng một địa chỉ IP và cấu trúc thư mục tương tự cho thấy một tác nhân đe dọa duy nhất đang tái sử dụng các quy ước đặt tên (như “get*js” và “*analytics”) trên nhiều chiến dịch khác nhau. Điều này cho thấy nguy cơ rò rỉ dữ liệu tiềm ẩn rất lớn.

Danh Sách Chỉ Số Bị Xâm Phạm (IOCs)

Dưới đây là danh sách các chỉ số bị xâm phạm (IOCs) được xác định trong chiến dịch này:

• Miền hoạt động ban đầu: cc-analytics[.]com
• IP máy chủ: 45.61.136.141
• Các miền phân phối payload:
  • jgetjs.com
  • getnjs.com
  • getvjs.com
  • getejs.com
  • utilanalytics.com
• Các miền liên quan khác:
  • cc-analytis.com (biến thể lỗi chính tả)
  • youtuber-dashboardwme.pro
  • secfw03secur.com
  • Các miền phụ của 45-61-136-141.cprapid.com
• URL exfiltration: https://www.pstatics.com/i

Các miền này đã hoạt động ít nhất một năm, cho thấy một hạ tầng lâu dài thường xuyên xoay vòng miền để né tránh các nỗ lực gỡ bỏ. Đây là một mối đe dọa mạng dai dẳng mà các tổ chức cần cảnh giác.

Chiến Lược Phát Hiện và Phòng Ngừa Tấn Công

Phát Hiện Sớm Các Kịch Bản Độc Hại

Chiến dịch này nhấn mạnh mối đe dọa lâu dài do các skimmer mã độc Magecart gây ra. Các tín hiệu công khai nhỏ, như một tweet đơn lẻ, có thể tiết lộ các mạng lưới kịch bản độc hại lớn và bí mật.

Các nhóm bảo mật cần theo dõi các trang web để tìm các thẻ <script> trái phép tham chiếu đến các miền đáng ngờ, đặc biệt là những miền khớp với các mẫu như “analytics.com” hoặc “getjs.com.” Các công cụ như URLScan, publicWWW và truy vấn DNS thụ động là vô giá cho việc săn tìm mối đe dọa và gán thuộc tính miền.

Các Biện Pháp Bảo Mật Chủ Động

Các chiến lược phát hiện tấn công bao gồm việc triển khai các quy tắc Content Security Policy (CSP) để hạn chế nguồn script chỉ từ các miền đã biết và được kiểm duyệt. Ngoài ra, cần triển khai Runtime Application Self-Protection (RASP) để chặn các sửa đổi DOM trái phép.

Quét định kỳ các tài sản web để tìm các bao gồm script bên ngoài không mong muốn cũng là một biện pháp quan trọng. Việc tích hợp các nguồn cấp dữ liệu tình báo mối đe dọa liệt kê các miền liên quan có thể tự động hóa cảnh báo khi các trang web bị xâm nhập mới xuất hiện.

Các tổ chức không nên chặn tất cả các miền được xác định một cách đơn giản, vì các dương tính giả có thể làm gián đoạn hoạt động kinh doanh. Thay vào đó, cần xác thực danh tiếng miền và hành vi script trước khi thực thi các biện pháp chặn.

Việc xem xét thường xuyên các bản ghi máy chủ web và báo cáo lỗi phía máy khách có thể giúp phát hiện các nỗ lực đánh cắp dữ liệu ở giai đoạn cuối. Cuối cùng, việc tham gia chia sẻ thông tin qua các cộng đồng bảo mật đảm bảo rằng các khám phá hạ tầng mới lan truyền nhanh chóng, giảm thiểu thời gian tiếp xúc với rủi ro an ninh mạng.

Cuộc điều tra này minh họa rằng việc săn tìm mối đe dọa chủ động, kết hợp với các công cụ dễ tiếp cận và các tín hiệu công khai, có thể giúp lập bản đồ hạ tầng của kẻ tấn công trước khi xảy ra tổn thất đáng kể cho khách hàng. Các nhóm bảo mật được trang bị những hiểu biết này có thể tăng cường phòng thủ và làm gián đoạn các chiến dịch kiểu mã độc Magecart ở quy mô lớn.