Visa mengeluarkan peringatan mengenai skimmer e-commerce JavaScript baru yang dikenal sebagai Baka, yang akan menghapus dirinya sendiri dari memori setelah mengeksfiltrasi data yang dicuri.
Skrip pencuri kartu kredit ini ditemukan oleh para peneliti dengan inisiatif Payment Fraud Disruption (PFD) Visa pada Februari 2020 saat memeriksa server command-and-control (C2) yang sebelumnya menjadi host kit web skimming ImageID.
Selain fitur skimming dasar biasa seperti bidang formulir target yang dapat dikonfigurasi dan eksfiltrasi data menggunakan image requests, Baka menampilkan desain canggih yang menunjukkan bahwa ini adalah karya pengembang malware yang terampil dan juga dilengkapi dengan metode penyamaran unik serta loader.
“Skimmer memuat secara dinamis untuk menghindari pemindai malware statis dan menggunakan parameter enkripsi unik bagi setiap korban untuk mengaburkan kode berbahaya,” kata Visa.
“PFD menilai bahwa varian skimmer ini menghindari deteksi dan analisis dengan menghapus dirinya sendiri dari memori saat mendeteksi kemungkinan analisis dinamis dengan Alat Pengembang atau saat data telah berhasil dieksfiltrasi.”
Baka terdeteksi oleh Visa di beberapa toko online dari beberapa negara dan itu diamati saat diinjeksikan ke toko e-commerce yang disusupi dari domain jquery-cycle[.]com, b-metric[.]com, apienclave[.]com, quicdn[.]com, apisquere[.]com, ordercheck[.]online, dan pridecdn[.]com.
Baca Juga: “Peneliti Temukan Cara Bypass PIN Pembayaran Visa Contactless“
Skimmer ditambahkan ke halaman pembayaran pedagang menggunakan skrip tag dan pemuatnya akan mengunduh kode skimming dari server C2 dan menjalankannya di memori.
Hal ini memungkinkan penyerang untuk memastikan bahwa kode skimming yang digunakan untuk mengambil data pelanggan tidak ditemukan saat menganalisis file yang dihosting di server penjual atau komputer pelanggan.
“Muatan skimming mendekripsi ke JavaScript yang ditulis menyerupai kode yang akan digunakan untuk merender halaman secara dinamis,” Visa menjelaskan.
“Metode enkripsi yang sama seperti yang terlihat dengan loader digunakan untuk payload. Setelah dijalankan, skimmer menangkap data pembayaran dari formulir pembayaran.”
Baka juga merupakan malware skimmer JavaScript pertama yang ditemukan oleh Visa menggunakan cipher XOR untuk mengaburkan kode skimming yang diunduh dari C2 dan value hard-code apa pun.
Visa merekomendasikan anggota lembaga keuangan, pedagang e-commerce, penyedia layanan, vendor pihak ketiga, pengecer integrator untuk merujuk pada dokumen What to do if Compromised (WTDIC) untuk panduan jika sistem pembayaran mereka disusupi.
Visa juga membagikan daftar praktik terbaik untuk mengamankan platform e-commerce sebagaimana diuraikan oleh Dewan Standar Keamanan PCI.
