Visa allerta sul nuovo skimmer JavaScript della carta di credito Baka

7 Settembre 2020 - Tempo di lettura: 12 minuti

Visa ha emesso un avviso relativo a un nuovo skimmer di e-commerce JavaScript noto come Baka che si rimuoverà dalla memoria dopo aver esfiltrato i dati rubati.

Lo script per il furto della carta di credito è stato scoperto dai ricercatori con l'iniziativa Payment Fraud Disruption (PFD) di Visa nel febbraio 2020 mentre esaminavano un server (C2) che in precedenza ospitava un kit di scrematura Web ImageID.

L'anno scorso, Visa ha scoperto un altro web skimmer JavaScript noto come Pipka che si è rapidamente diffuso nei negozi online di "almeno sedici siti web di commercianti aggiuntivi" dopo essere stato inizialmente individuato sul sito di e-commerce delle organizzazioni nordamericane nel settembre 2019.

Evita il rilevamento e l'analisi

Oltre alle normali funzionalità di scrematura di base come i campi modulo di destinazione configurabili e l'esfiltrazione di dati utilizzando richieste di immagini, Baka presenta un design avanzato che indica che è il lavoro di uno sviluppatore di malware esperto e viene fornito con un metodo di offuscamento e un caricatore unici.

"Lo skimmer si carica dinamicamente per evitare scanner di malware statici e utilizza parametri di crittografia univoci per ciascuna vittima per offuscare il codice dannoso", si legge nell'avviso di Visa.

"PFD valuta che questa variante dello skimmer eviti il ​​rilevamento e l'analisi rimuovendosi dalla memoria quando rileva la possibilità di un'analisi dinamica con gli strumenti per sviluppatori o quando i dati sono stati esfiltrati con successo".

Baka è stato rilevato da Visa su più negozi online di diversi paesi ed è stato osservato mentre veniva iniettato in negozi di e-commerce compromessi da jquery-cycle [.] Com, b-metric [.] Com, apienclave [.] Com, quicdn [.] com, apisquere [.] com, ordercheck [.] online e pridecdn [.] com.

Mimetizzato come codice di rendering della pagina

Lo skimmer viene aggiunto alle pagine di checkout dei commercianti utilizzando un tag script e il suo caricatore scaricherà il codice di skimming dal server C2 e lo eseguirà in memoria.

Ciò consente agli aggressori di assicurarsi che il codice di scrematura utilizzato per raccogliere i dati dei clienti non venga trovato durante l'analisi dei file ospitati sul server del commerciante o sul computer del cliente.

"Il payload di skimming viene decrittografato in JavaScript scritto per assomigliare al codice che verrebbe utilizzato per visualizzare le pagine in modo dinamico", ha spiegato Visa.

"Per il payload viene utilizzato lo stesso metodo di crittografia visto con il caricatore. Una volta eseguito, lo skimmer acquisisce i dati di pagamento dal modulo di pagamento."

Baka è anche il primo malware di scrematura JavaScript individuato da Visa a utilizzare un codice XOR per offuscare il codice di scrematura scaricato dal C2 e qualsiasi valore hardcoded.

Migliori pratiche e misure di mitigazione

Visa consiglia agli istituti finanziari membri, ai commercianti di e-commerce, ai fornitori di servizi, ai fornitori di terze parti, ai rivenditori di integratori di fare riferimento al documento Cosa fare in caso di compromissione (WTDIC) per ottenere indicazioni se i loro sistemi di pagamento vengono compromessi.

L'azienda ha anche condiviso l'elenco delle migliori pratiche per la protezione delle piattaforme di e-commerce come delineato dal PCI Security Standards Council.

Inoltre, Visa fornisce questo elenco di azioni di mitigazione che dovrebbero impedire agli attori delle minacce di compromettere i negozi online per distribuire script di scrematura delle carte di pagamento JavaScript:

• Istituire controlli ricorrenti negli ambienti di e-commerce per le comunicazioni con i C2.
• Garantire familiarità e vigilanza con il codice integrato negli ambienti di e-commerce tramite fornitori di servizi.
• Controllare attentamente l'utilizzo di Content Delivery Network (CDN) e altre risorse di terze parti.
• Esegui regolarmente la scansione e il test dei siti di e-commerce per individuare vulnerabilità o malware. Assumi un professionista o un fornitore di servizi di fiducia con una reputazione di sicurezza per proteggere l'ambiente di e-commerce. Poni domande e richiedi un rapporto approfondito. Fidati, ma verifica le azioni intraprese dalla società che assumi.
• Verificare regolarmente che il carrello della spesa, altri servizi e tutto il software vengano aggiornati o aggiornati alle versioni più recenti per tenere lontani gli aggressori. Configurare un firewall per applicazioni Web per impedire a richieste sospette e dannose di raggiungere il sito Web. Ci sono opzioni gratuite, semplici da usare e pratiche per i piccoli commercianti.
• Limitare l'accesso al portale amministrativo e agli account a coloro che ne hanno bisogno.
• Richiedi password amministrative complesse (utilizza un gestore di password per ottenere i migliori risultati) e abilita l'autenticazione a due fattori.
• Considerare l'utilizzo di una soluzione di pagamento completamente ospitata in cui i clienti inseriscono i propri dettagli di pagamento su un'altra pagina web ospitata da quella soluzione di pagamento, separata dal sito del commerciante. Questo è il modo più sicuro per proteggere il commerciante ei suoi clienti dal malware di scrematura dell'e-commerce.