更多全球网络安全资讯尽在E安全官网 www.easyaq.com
E安全9月8日讯 近日,Visa发布了一项关于新的信用卡JavaScript窃取器的警告,它被称为Baka,这种电子窃取器会在窃取银行卡信息后自动从内存中删除,实现了规避检测的新功能。
2020年2月,Visa支付欺诈破坏(PFD)项目的专家在分析另一场活动中使用的指挥和控制(C2)服务器时首次发现了这个电子窃取器,该服务器还托管了一个ImageID电子拦截工具包。
据了解,Baka是由一个熟练的恶意软件开发者开发的电子窃取器,它实现了独特的混淆方法和加载程序。
“该套件最引人注目的组件是独特的加载程序和混淆方法。窃取器动态加载以避免静态恶意软件扫描,并为每个受害者使用唯一的加密参数来混淆恶意代码。”VISA发布的警告中写道。“PFD评估,当它检测到数据已经成功泄露时,便会从内存中删除自身信息,避免被检测和发现。”
PFD专家在全球多个使用Visa eTD功能的商家网站上发现了Baka窃取器。
Baka窃取器的工作原理是动态地向远程JavaScript文件加载当前页面,添加脚本标记。
JavaScript网址以加密格式硬编码在加载器脚本中,专家观察到,攻击者可以更改每个受害者的网址。
窃取器有效负载解密为JavaScript编写,类似于用于动态呈现页面的代码。有效负载和加载器使用相同的加密方法,一旦执行,窃取器就会从付款表单窃取支付卡数据。
据了解,Baka还是第一个使用XOR密码对硬编码进行加密的JavaScript窃取恶意软件。
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论