窃取器|当心!Visa发现一款新型信用卡窃取器 能够规避检测并窃取用户卡内数据

E安全9月8日讯 近日,Visa发布了一项关于新的信用卡JavaScript窃取器的警告,它被称为Baka,这种电子窃取器会在窃取银行卡信息后自动从内存中删除,实现了规避检测的新功能 。
窃取器|当心!Visa发现一款新型信用卡窃取器 能够规避检测并窃取用户卡内数据
文章图片
2020年2月,Visa支付欺诈破坏(PFD)项目的专家在分析另一场活动中使用的指挥和控制(C2)服务器时首次发现了这个电子窃取器,该服务器还托管了一个ImageID电子拦截工具包 。
据了解,Baka是由一个熟练的恶意软件开发者开发的电子窃取器,它实现了独特的混淆方法和加载程序 。
窃取器|当心!Visa发现一款新型信用卡窃取器 能够规避检测并窃取用户卡内数据
文章图片
“该套件最引人注目的组件是独特的加载程序和混淆方法 。窃取器动态加载以避免静态恶意软件扫描,并为每个受害者使用唯一的加密参数来混淆恶意代码 。”VISA发布的警告中写道 。“PFD评估,当它检测到数据已经成功泄露时,便会从内存中删除自身信息,避免被检测和发现 。”
PFD专家在全球多个使用Visa eTD功能的商家网站上发现了Baka窃取器 。
窃取器|当心!Visa发现一款新型信用卡窃取器 能够规避检测并窃取用户卡内数据
文章图片
Baka窃取器的工作原理是动态地向远程JavaScript文件加载当前页面,添加脚本标记 。
JavaScript网址以加密格式硬编码在加载器脚本中,专家观察到,攻击者可以更改每个受害者的网址 。
窃取器|当心!Visa发现一款新型信用卡窃取器 能够规避检测并窃取用户卡内数据
文章图片
【窃取器|当心!Visa发现一款新型信用卡窃取器 能够规避检测并窃取用户卡内数据】窃取器有效负载解密为JavaScript编写,类似于用于动态呈现页面的代码 。有效负载和加载器使用相同的加密方法,一旦执行,窃取器就会从付款表单窃取支付卡数据 。
据了解,Baka还是第一个使用XOR密码对硬编码进行加密的JavaScript窃取恶意软件 。


    推荐阅读