E-skimmer được phát hiện lần đầu tiên bởi các chuyên gia thực hiện dự án "chống gian lận thanh toán" (Payment Fraud Disruption - PFD) của Visa vào tháng 2/2020 khi họ phân tích một máy chủ điều khiển và ra lệnh (C&C) triển khai trong chiến dịch khác và có lưu trữ bộ công cụ ImageID e-skimming.
Baka là một e-skimmer tinh vi, được một nhà phát triển phần mềm độc hại có trình độ cao phát triển, có phương pháp obfuscation (kỹ thuật rối mã) và loader (trình tải) độc nhất vô nhị.
Visa cảnh báo:"Các thành phần đặc biệt của bộ công cụ này là phương pháp loader và obfuscation riêng biệt. Skimmer tải động để tránh các máy quét phần mềm tĩnh và sử dụng các tham số mã hóa riêng biệt cho từng nạn nhân để làm xáo trộn mã độc. PFD cho biết biến thể của skimmer này có thể tránh khỏi sự phát hiện và phân tích bởi khả năng tự xóa chính nó khỏi bộ nhớ khi nó phát hiện khả năng phân tích động bằng các công cụ của nhà phát triển hoặc sau khi trích xuất dữ liệu thành công".
Các chuyên gia của PFD tìm thấy skimmer Baka trên một số trang web bán hàng trên thế giới đang sử dụng tính năng eTD của Visa.
Trình tải của Baka hoạt động bằng cách thêm một tập lệnh động vào trang hiện tại để tải một tập tin JavaScript từ xa. URL JavaScript được mã hóa cứng trong tập lệnh của trình tải ở định dạng được mã hóa. Các chuyên gia thấy rằng những kẻ tấn công có thể thay đổi URL cho nạn nhân. Tải trọng của e-skimmer giải mã thành JavaScript giống với code sẽ được sử dụng để hiển thị trang.
Baka cũng là mã độc đánh cắp dữ liệu sử dụng JavaScrip đầu tiên sử dụng mật mã XOR để mã hóa cứng và làm rối mã tải trọng skimmer được phát tán bởi máy chủ C&C.
Trong cảnh báo cũng nêu rõ: "Mặc dù việc sử dụng mã hóa XOR không phải là mới, nhưng đây là lần đầu tiên Visa quan sát thấy việc sử dụng nó trong mã độc skimmer sử dụng JavaScript. Nhà phát triển bộ phần mềm độc hại này sử dụng cùng một chức năng mật mã trong loader và skimmer".
Visa cũng đưa ra các khuyến cáo để ngăn chặn tấn công này, bao gồm: Kiểm tra định kỳ các môi trường thương mại điện tử (TMĐT) để giao tiếp bằng C2; Đảm bảo hiểu rõ và thận trọng với mã được tích hợp vào các môi trường TMĐT thông qua các nhà cung cấp dịch vụ; Xem xét chặt chẽ việc sử dụng các mạng phân phối nội dung (CDN) và các tài nguyên của bên thứ 3 khác.
Bên cạnh đó, cũng cần thường xuyên quét và kiểm tra các lỗ hổng hoặc phần mềm độc hại trên các trang TMĐT; Thuê một chuyên gia tin cậy hoặc nhà cung cấp dịch vụ có uy tín về bảo mật để đảm bảo an toàn cho môi trường TMĐT; Đặt ra các câu hỏi và yêu cầu báo cáo kỹ lưỡng; Tin tưởng nhưng hãy xác minh các bước do công ty bạn thuê làm việc; Đảm bảo giỏ hàng ảo, các dịch vụ và tất cả phần mềm thường xuyên được nâng cấp hoặc vá lên những phiên bản mới nhất để ngăn chặn tấn công.
Ngoài ra, cũng cần lưu ý thiết lập tường lửa ứng dụng web để chặn các yêu cầu khả nghi và độc hại đến trang web; Có các tùy chọn miễn phí, dễ sử dụng và thiết thực cho các thương gia nhỏ; Giới hạn quyền truy cập vào trang quản trị và tài khoản cho những người cần truy nhập; Yêu cầu các mật khẩu quản trị mạnh và bật chế độ xác thực hai yếu tố.
Việc sử dụng giải pháp thanh toán được lưu trữ đầy đủ, trong đó thông tin thanh toán của khách hàng được nhập trên web và lưu trữ trên máy chủ giải pháp thanh toán đó, tách biệt với trang web của người bán. Đây là cách an toàn nhất để bảo vệ người bán và những khách hàng của họ khỏi phần mềm độc hại skimmer TMĐT.
Năm ngoái, Visa phát hiện một skimmer khác cũng sử dụng JavaScript là Pipka đã bị kẻ gian sử dụng để đánh cắp dữ liệu thanh toán từ các trang web TMĐT.
