近日,Visa发布了一项关于新的信用卡JavaScript窃取器的警告,它被称为Baka,这种电子窃取器会在窃取银行卡信息后自动从内存中删除,实现了规避检测的新功能。
2020年2月,Visa支付欺诈破坏(PFD)项目的专家在分析另一场活动中使用的指挥和控制(C2)服务器时首次发现了这个电子窃取器,该服务器还托管了一个ImageID电子拦截工具包。
据了解,Baka是由一个熟练的恶意软件开发者开发的电子窃取器,它实现了独特的混淆方法和加载程序。
“该套件最引人注目的组件是独特的加载程序和混淆方法。窃取器动态加载以避免静态恶意软件扫描,并为每个受害者使用唯一的加密参数来混淆恶意代码。”VISA发布的警告中写道。“PFD评估,当它检测到数据已经成功泄露时,便会从内存中删除自身信息,避免被检测和发现。”
PFD专家在全球多个使用Visa eTD功能的商家网站上发现了Baka窃取器。
Baka窃取器的工作原理是动态地向远程JavaScript文件加载当前页面,添加脚本标记。
JavaScript网址以加密格式硬编码在加载器脚本中,专家观察到,攻击者可以更改每个受害者的网址。
窃取器有效负载解密为JavaScript编写,类似于用于动态呈现页面的代码。有效负载和加载器使用相同的加密方法,一旦执行,窃取器就会从付款表单窃取支付卡数据。
据了解,Baka还是第一个使用XOR密码对硬编码进行加密的JavaScript窃取恶意软件。(文章来源:E安全)