VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chiến dịch skimmer kỹ thuật số mới sử dụng các kỹ thuật làm tối nghĩa Unicode để che giấu một skimmer có tên là Mongolian Skimmer.

"Thoạt nhìn, điều nổi bật là sự che giấu của tập lệnh, có vẻ hơi kỳ lạ vì tất cả các ký tự có dấu", các nhà nghiên cứu của Jscrambler cho biết trong một phân tích. "Việc sử dụng nhiều ký tự Unicode, nhiều ký tự trong số đó vô hình, khiến cho mã rất khó đọc đối với con người".


Về cơ bản, tập lệnh này được phát hiện có khả năng tận dụng khả năng của JavaScript để sử dụng bất kỳ ký tự Unicode nào trong mã định danh nhằm ẩn chức năng độc hại.

Mục tiêu cuối cùng của phần mềm độc hại là đánh cắp dữ liệu nhạy cảm được nhập vào trang thanh toán thương mại điện tử hoặc trang quản trị, bao gồm thông tin tài chính, sau đó truyền đến máy chủ do kẻ tấn công kiểm soát.

Skimmer, thường biểu hiện dưới dạng một tập lệnh nội tuyến trên các trang web bị xâm phạm để lấy dữ liệu thực tế từ máy chủ bên ngoài, cũng cố gắng trốn tránh các nỗ lực phân tích và gỡ lỗi bằng cách vô hiệu hóa một số chức năng khi công cụ dành cho nhà phát triển của trình duyệt web được mở.

"Skimmer sử dụng các kỹ thuật nổi tiếng để đảm bảo khả năng tương thích trên nhiều trình duyệt khác nhau bằng cách sử dụng cả kỹ thuật xử lý sự kiện hiện đại và cũ", Pedro Fortuna của Jscrambler cho biết. "Điều này đảm bảo rằng nó có thể nhắm mục tiêu đến nhiều người dùng, bất kể phiên bản trình duyệt của họ là gì".


Công ty bảo vệ và tuân thủ phía máy khách cho biết họ cũng quan sát thấy một biến thể trình tải "bất thường" chỉ tải tập lệnh skimmer trong những trường hợp phát hiện các sự kiện tương tác của người dùng như cuộn, di chuyển chuột và chạm để bắt đầu.

Kỹ thuật này, ông nói thêm, có thể đóng vai trò là biện pháp chống bot hiệu quả và là cách đảm bảo việc tải skimmer không gây ra tình trạng tắc nghẽn hiệu suất.

Một trong những trang web Magento bị xâm phạm để cung cấp chương trình skimmer Mông Cổ cũng được cho là bị một tác nhân skimmer riêng biệt nhắm tới, trong đó hai nhóm hoạt động này tận dụng các chú thích mã nguồn để tương tác với nhau và chia lợi nhuận.

"Có lẽ là 50/50?", một trong những kẻ tấn công đã bình luận vào ngày 24 tháng 9 năm 2024. Ba ngày sau, nhóm kia trả lời: "Tôi đồng ý 50/50, bạn có thể thêm mã của mình :)"

Sau đó vào ngày 30 tháng 9, kẻ tấn công đầu tiên trả lời rằng "Được thôi) vậy làm sao tôi có thể liên lạc với bạn? Bạn có tài khoản trên Exploit không? [sic]", có thể là ám chỉ đến diễn đàn tội phạm mạng Exploit.

"Các kỹ thuật che giấu được tìm thấy trên skimmer này có thể được những người không được đào tạo coi là phương pháp che giấu mới, nhưng thực tế không phải vậy", Fortuna lưu ý. "Nó sử dụng các kỹ thuật cũ để có vẻ che giấu hơn, nhưng chúng cũng dễ đảo ngược".