Visa发出了有关新的信用卡JavaScript分离器(称为Baka)的警告,该分离器实施了新功能来逃避检测。
Visa发出了有关新的电子取水器Baka的警告,该电子取水器在泄露了支付卡详细信息后将其从内存中删除。
Visa的付款欺诈破坏(PFD)计划于2020年2月首发现了该电子分离器,同时分析了另一项活动中使用的命令和控制(C2)服务器,该服务器托管了ImageID电子撇取工具。
Baka是由熟练的恶意软件开发人员开发的复杂的电子分离器,它实现了独特的混淆方法和加载程序。
“该套件最引人注目的组件是独特的加载程序和混淆方法。分离器动态加载以避免静态的恶意软件扫描程序,并为每个受害者使用唯一的加密参数来混淆恶意代码。” “ PFD在检测到使用开发人员工具进行动态分析的可能性或成功提取数据后,会通过将自身从内存中删除来评估这种撇油器变型避免了检测和分析。”
PFD专家在全球多个使用Visa的eTD功能的商家网站上发现了Baka分离器。
Baka加载器通过向当前页面动态添加脚本标签来加载远程JavaScript文件来工作。JavaScript URL以加密格式硬编码在加载程序脚本中,专家观察到攻击者可以更改每个受害者的URL
分离器的有效负载解密为JavaScript,该JavaScript类似于将用于动态呈现页面的代码。
最终的有效负载和加载程序使用相同的加密方法,一旦执行,软件分离器就会从结帐表格中窃取支付卡数据。
Baka还是第一个使用XOR密码对硬编码值进行加密并混淆命令和控件提供的掠取有效载荷的JavaScript掠取恶意软件。
“虽然使用XOR密码并不新鲜,但这是Visa首次在JavaScript掠夺恶意软件中观察到它的使用。该恶意软件套件的开发人员在加载器和分离器中使用相同的密码功能。” 。
危害指标以及最佳实践和缓解措施:
•在电子商务环境中进行定期检查以与C2进行通信。
•确保对通过服务提供商集成到电子商务环境中的代码熟悉并保持警惕。
•严格审查利用的内容交付网络(CDN)和其他第三方资源。
•定期扫描和测试电子商务网站是否存在漏洞或恶意软件。雇用具有安全声誉的受信任的专业人士或服务提供商,以保护电子商务环境。提出问题并要求提供详尽的报告。信任,但请验证您雇用的公司采取的步骤。
•定期确保购物车,其他服务和所有软件都已升级或修补到最新版本,以阻止攻击者进入。设置Web应用程序防火墙以阻止可疑和恶意请求到达网站。有一些免费的选项,易于使用,并且对小型商人非常实用。
•将访问管理门户和帐户的权限限制为需要它们的人员。
•需要增强密码管理(使用密码管理器可获得最佳效果)并启用身份验证。
•考虑使用完全托管的结帐解决方案,在该解决方案中,客户在该结帐解决方案托管的另一个网页上(与商家的网站分开)输入其付款详细信息。这是保护商家及其客户免受电子商务掠夺性恶意软件攻击的最安全方法。
去年,Visa发现了另一个JavaScript网络分离器,称为Pipka,被骗子用来从电子商务商人网站窃取付款数据。
