FBI. Tin tặc đã sử dụng mã PHP độc hại để lấy dữ liệu thẻ tín dụng

Cục Điều tra Liên bang (FBI) đang cảnh báo rằng ai đó đang lấy dữ liệu thẻ tín dụng từ các trang thanh toán trên trang web của các doanh nghiệp Hoa Kỳ.  

"Kể từ tháng 1 năm 2022, các tác nhân mạng không xác định đã lấy cắp dữ liệu thẻ tín dụng một cách bất hợp pháp từ một doanh nghiệp Hoa Kỳ bằng cách đưa mã PHP Hypertext Preprocessor (PHP) độc hại vào trang thanh toán trực tuyến của doanh nghiệp và gửi dữ liệu đã cạo được đến một máy chủ do tác nhân kiểm soát để giả mạo một tài khoản hợp pháp.

Nó cho biết "các tác nhân mạng không xác định" cũng đã thiết lập quyền truy cập cửa hậu vào hệ thống của nạn nhân bằng cách sửa đổi hai tệp trong trang thanh toán.  

HIỂU.

Các cuộc tấn công đánh cắp thẻ Magecart dựa trên JavaScript là mối đe dọa chính đối với các trang web thương mại điện tử trong những năm gần đây, nhưng mã PHP vẫn là nguồn chính của hoạt động đánh cắp thẻ.  

Những kẻ tấn công bắt đầu nhắm mục tiêu vào các doanh nghiệp Hoa Kỳ vào tháng 9 năm 2020 bằng cách chèn mã PHP độc hại vào các trang thanh toán trực tuyến tùy chỉnh. Nhưng đầu năm nay, các diễn viên đã thay đổi chiến thuật bằng cách sử dụng một hàm PHP khác.  

Các tác nhân tạo một cửa hậu cơ bản bằng cách sử dụng chức năng gỡ lỗi cho phép hệ thống tải xuống hai vỏ web trên máy chủ web của công ty Hoa Kỳ, tạo cho những kẻ tấn công cửa hậu để khai thác thêm.  

Các biện pháp giảm thiểu được khuyến nghị của FBI bao gồm thay đổi thông tin xác thực đăng nhập mặc định trên tất cả các hệ thống, giám sát các yêu cầu được thực hiện đối với môi trường thương mại điện tử của bạn để xác định hoạt động độc hại có thể xảy ra, tách biệt và phân đoạn các hệ thống mạng để hạn chế mức độ dễ dàng mà bọn tội phạm mạng có thể di chuyển từ trang này sang trang khác và bảo mật tất cả các trang web

Công ty bảo mật Sucuri đã quan sát thấy rằng 41% mẫu phần mềm độc hại đọc lướt thẻ tín dụng mới vào năm 2021 là từ các phần mềm đọc lướt thẻ tín dụng phụ trợ PHP. Điều này cho thấy rằng chỉ quét các phần mềm lây nhiễm JavaScript giao diện người dùng có thể bỏ sót một tỷ lệ lớn phần mềm độc hại đọc lướt thẻ tín dụng.  

Như Sucuri giải thích, các cửa hậu webshell cung cấp cho kẻ tấn công toàn quyền truy cập vào hệ thống tệp của trang web, thường cung cấp bức tranh đầy đủ về môi trường, bao gồm hệ điều hành máy chủ và các phiên bản PHP, cũng như chức năng mạnh mẽ để thay đổi quyền của tệp và di chuyển vào các trang web và thư mục liền kề. Webshells chiếm 19% trong số 400 chữ ký phần mềm độc hại mới do Sucuri thu thập vào năm 2021. Công ty đã chứng kiến ​​​​sự gia tăng "cực kỳ không tương xứng" về chữ ký đối với những kẻ đánh cắp thẻ tín dụng dựa trên PHP ảnh hưởng đến các nền tảng thương mại điện tử Magento, WordPress và OpenCart.    

Cục Điều tra Liên bang (FBI) đã cảnh báo vào ngày 16 tháng 5 năm 2022 rằng những kẻ đe dọa đã lấy dữ liệu thẻ tín dụng từ một tài khoản U. S. doanh nghiệp bằng cách tiêm mã Hypertext Preprocessor (PHP) độc hại vào các trang thanh toán trực tuyến của mình

Những kẻ tấn công đã thu thập dữ liệu thẻ tín dụng từ tháng 1 năm 2022 và gửi nó đến một máy chủ do tác nhân đe dọa kiểm soát. Máy chủ này đã giả mạo một máy chủ xử lý thẻ hợp pháp

Ngoài ra, các tác nhân mạng không xác định đã giành được quyền truy cập cửa hậu vào nạn nhân bằng cách sửa đổi hai tập lệnh trên trang thanh toán trực tuyến của doanh nghiệp

Họ đã khai thác chức năng gỡ lỗi và truyền dữ liệu, khiến hệ thống tải xuống hai vỏ web để khai thác thêm

Mã PHP dẫn đầu trong việc lướt qua dữ liệu thẻ tín dụng từ các trang thanh toán trực tuyến

Mặc dù các cuộc tấn công tráo thẻ Magecart dựa trên JavaScript trên các trang thanh toán trực tuyến đã được chú ý nhiều hơn trong những năm gần đây, mã PHP độc hại vẫn là nguồn chính của hoạt động tráo thẻ.

Theo công ty an ninh mạng Sucuri, 41% thẻ tín dụng lướt qua các biểu mẫu thanh toán trực tuyến bắt nguồn từ mã PHP độc hại. Ngoài ra, Sucuri phát hiện ra rằng sự phụ thuộc vào mã PHP cho hoạt động lướt qua thẻ tín dụng đang gia tăng

Không giống như javascript phía máy khách, PHP chạy ở phía máy chủ và có thể truy cập các chức năng phụ trợ, do đó cấp cho kẻ tấn công nhiều quyền kiểm soát hơn

Truy cập vào hệ thống tệp của máy chủ cho phép tin tặc di chuyển ngang vào các trang web được đồng lưu trữ và các thư mục liền kề. Tương tự, PHP được hỗ trợ rộng rãi và có thể dễ dàng tạo các trình bao web ngược

FBI không tiết lộ số lượng nạn nhân bị xâm nhập thông qua mã độc PHP. Tuy nhiên, văn phòng tiết lộ rằng những kẻ tấn công đã thử cạo dữ liệu thẻ tín dụng bằng mã PHP từ U. S. doanh nghiệp kể từ tháng 9 năm 2020

Tiết lộ của FBI cho thấy số nạn nhân bị xâm nhập thông qua mã PHP độc hại trên các trang thanh toán trực tuyến có khả năng cao

Khuyến nghị của FBI về giảm thiểu các mối đe dọa trực tuyến

FBI đã khuyến nghị giao thức lớp cổng bảo mật (SSL) để truyền thông tin, thay đổi thông tin đăng nhập mặc định và kiểm tra các yêu cầu đối với hệ thống thương mại điện tử trực tuyến để xác định hoạt động độc hại

Ngoài ra, văn phòng khuyến nghị phân đoạn các hệ thống mạng để ngăn chặn sự lây lan của nhiễm trùng trong các lần vi phạm thành công và chỉ tải xuống phần mềm của bên thứ ba từ các trang web đáng tin cậy

FBI cũng khuyên các tổ chức nên vá các hệ thống để tìm các lỗ hổng nghiêm trọng, theo dõi nhật ký truy cập trái phép, tăng cường các yêu cầu về thông tin xác thực và kích hoạt xác thực đa yếu tố

Tiến hành sao lưu thường xuyên và triển khai kế hoạch ứng phó sự cố cũng sẽ hỗ trợ các tổ chức giải quyết các mối đe dọa trên mạng

Cơ quan thực thi pháp luật liên bang khuyến khích các nạn nhân báo cáo các sự cố an ninh mạng đáng ngờ cho văn phòng địa phương FBI của họ

Kunal Modasiya, giám đốc quản lý sản phẩm cấp cao của PerimeterX, cho biết vụ việc là một nỗ lực khác nhằm đánh cắp thông tin cá nhân và thông tin thanh toán để lừa đảo.

“Cảnh báo này của FBI là một cảnh báo mà các doanh nghiệp Mỹ nên thực hiện rất nghiêm túc,” Modasiya nói. “Một cuộc tấn công Magecart, theo đó những kẻ xấu lấy dữ liệu thẻ tín dụng trực tuyến bằng cách đưa mã PHP độc hại vào trang thanh toán là một cách khác để đánh cắp PII và dữ liệu thanh toán của khách hàng, lạm dụng thông tin tài khoản và thực hiện hành vi lừa đảo. ”

Ông khuyên các doanh nghiệp nên xem xét “ngoài các công cụ bảo mật phía máy chủ” và áp dụng các biện pháp khác như phân tích mã tĩnh, máy quét bên ngoài và giới hạn của các giải pháp CSP

Ông nói thêm: “Các doanh nghiệp phải sử dụng một giải pháp tổng thể cung cấp khả năng hiển thị và kiểm soát theo thời gian thực đối với bề mặt tấn công chuỗi cung ứng phía khách hàng của họ”. “Nó cũng sẽ xác định các lỗ hổng, phát hiện hành vi bất thường của JavaScript và giao tiếp với các miền đáng ngờ, đồng thời chủ động giảm thiểu rủi ro dữ liệu khách hàng bị đánh cắp. ”

Ron Bradley, Phó chủ tịch tại Shared Assessments, khuyên chủ sở hữu trang web nên triển khai Giám sát tính toàn vẹn của tệp (FIM) để tránh trở thành nạn nhân của việc đọc trộm dữ liệu thẻ tín dụng

“Có một thực tế ai cũng biết là dữ liệu thẻ tín dụng luôn là một trong những viên ngọc quý đối với những kẻ lừa đảo,” Bradley nói. “Thật thú vị với tôi khi một doanh nghiệp có dữ liệu thẻ bị xâm phạm trong khi các biện pháp thử nghiệm chiến đấu có thể dễ dàng được đưa ra. ”

Tại sao tin tặc sử dụng PHP?

Cào thẻ tín dụng là gì?