พบ Visbot Malware ในเว็บไซด์ Magento Online Store ทั้งหมด 6,691

Visbot ไม่เหมือนกับ malware ตัวอื่นบนเว็บไซด์ที่ทำด้วย Magento (CMS) ที่คอยขโมยบัตรเครดิต Visbot จะไม่ได้ทำงานอยู่ในส่วน Front-end ของ Website แต่ Visbot จะทำงานเฉพาะฝั่ง Server-side เท่านั้น จะไม่มีการเปิดเผยตัวตน คนที่สามารถจะเจอ Visbot ได้มีแต่ Webmaster เท่านั้น

Malware ตัวนี้จะคอยเฝ้าการส่งข้อมูลบัตรเครดิตของ User จากนั้นจะทำการดักจับอยู่ตรงกลาง

Visbot จะแฝงอยู่ในไฟล์ภาพ (ใช้เทคนิคที่ชื่อว่า Stenography ซึ่งเป็นการแฝงข้อมูลไว้ในไฟล์ภาพ) Visbot จะวางรูปภาพที่แฝงไว้ในเว็บไซด์ที่เป็นพวก public folder ที่สามารถเข้าถึงได้จากภายนอก ผู้เขียน Malware จะมีการกำหนดให้เว็บไซด์ที่ติด malware ดึงภาพนั้นๆเป็นระยะๆ

ถ้าเว็บไซด์อยู่หลัง Firewall สิ่งที่เราเห็นก็จะแค่เหมือนกับการ download ไฟล์ภาพโดยเว็บไซด์เท่านั้น

ไฟล์ภาพที่ Malware มักจะดึงข้อมูลมีดังนี้

• bkg_btn-close2_bg.gif
• btn_back_bg_bg.gif
• btn_cancel_bg_bg.gif
• left_button_back.gif
• mage.jpg
• nav1_off_bg.gif
• notice-msg_bg.png
• section_menu_link_bg_bg.gif
• sort-arrow-down_bg.png

Visbot จะมีการเก็บ private key (รวมกับ public key ไว้) ที่สามารถถอดรหัสข้อมูลไว้ นั่นหมายความว่า Hacker คนอื่นๆจะสามารถ image ได้แต่ไม่สามารถถอดรหัสเพื่อดึงข้อมูลออกมาได้ครับ

Source:: BleepingComputer.com