Thứ Ba, Tháng Chín 15, 2020
Bảo mật

Kẻ trộm thẻ tín dụng dựa trên web mới sử dụng Telegram Messenger để kiểm tra dữ liệu

16views

Các nhóm tội phạm mạng không ngừng phát triển để tìm ra những cách mới để ăn cắp thông tin tài chính và mánh khóe mới nhất trong kho vũ khí của chúng là tận dụng ứng dụng nhắn tin Telegram để mang lại lợi ích cho chúng.

Trong một chiến thuật mới được các nhóm Magecart áp dụng, dịch vụ nhắn tin được mã hóa đang được sử dụng để gửi các chi tiết thanh toán bị đánh cắp từ các trang web bị xâm nhập trở lại những kẻ tấn công.

Jérôme Segura của Malwarebytes cho biết: “Đối với các tác nhân đe dọa, cơ chế lọc dữ liệu này hiệu quả và không yêu cầu chúng phải duy trì cơ sở hạ tầng có thể bị hạ gục hoặc bị chặn bởi những kẻ bảo vệ,” Jérôme Segura của Malwarebytes cho biết trong một phân tích hôm thứ hai . “Họ thậm chí có thể nhận được thông báo trong thời gian thực cho mỗi nạn nhân mới, giúp họ nhanh chóng kiếm tiền từ các thẻ bị đánh cắp trong các thị trường ngầm.”

TTP lần đầu tiên được nhà nghiên cứu bảo mật @AffableKraut ghi lại công khai trong một luồng Twitter vào tuần trước sử dụng dữ liệu từ công ty an ninh mạng Sansec của Hà Lan.

Telegram Messenger

Cấy chương trình trên các trang web mua sắm bằng cách khai thác lỗ hổng đã biết hoặc thông tin đăng nhập bị đánh cắp để lấy cắp thông tin thẻ tín dụng là một phương thức đã được thử nghiệm của Magecart, một tập đoàn gồm các nhóm hacker khác nhau nhắm mục tiêu vào các hệ thống mua sắm trực tuyến.

Những kẻ đọc trộm thẻ tín dụng ảo này, còn được gọi là formjacking, thường là mã JavaScript mà các nhà khai thác lén lút chèn vào một trang web thương mại điện tử, trên các trang thanh toán, với mục đích nắm bắt thông tin chi tiết thẻ của khách hàng trong thời gian thực và truyền nó đến một máy chủ do kẻ tấn công điều khiển từ xa.

Nhưng trong vài tháng qua, họ đã tăng cường nỗ lực che giấu mã kẻ đánh cắp thẻ bên trong siêu dữ liệu hình ảnh và thậm chí thực hiện các cuộc tấn công đồng nhất IDN được giấu trong tệp biểu tượng yêu thích của trang web.

tin tặc magecart

Điều mới lạ lần này là phương pháp lấy sạch dữ liệu (chẳng hạn như tên, địa chỉ, số thẻ tín dụng, thời hạn sử dụng và CVV), được thực hiện thông qua một tin nhắn tức thời được gửi đến một kênh Telegram riêng tư bằng cách sử dụng một ID bot được mã hóa trong mã skimmer.

Segura nói: “Việc trao đổi dữ liệu gian lận được thực hiện thông qua API của Telegram, nơi đăng các chi tiết thanh toán lên một kênh trò chuyện. Dữ liệu đó trước đây đã được mã hóa để làm cho việc xác định khó khăn hơn.”

Lợi thế của việc sử dụng Telegram là các tác nhân đe dọa không cần bận tâm đến việc thiết lập cơ sở hạ tầng kiểm soát và kênh riêng biệt để truyền thông tin thu thập được, cũng như phải đối mặt với khả năng các tên miền đó bị gỡ bỏ hoặc bị chặn bởi các phần mềm diệt virus.

Segura cho biết: “Bảo vệ chống lại dạng tấn công này khó hơn một chút vì nó dựa vào một dịch vụ liên lạc hợp pháp. Rõ ràng người ta có thể chặn tất cả các kết nối tới Telegram ở cấp độ mạng và vẫn an toàn trước các cuộc tấn công. “

Leave a Response