Visa heeft webwinkels gewaarschuwd voor nieuwe malware die creditcardgegevens van klanten probeert te stelen. De malware wordt "Baka" genoemd en is volgens Visa, gebaseerd op het ontwerp, door een ervaren ontwikkelaar gemaakt. De creditcardmaatschappij heeft Baka begin dit jaar bij meerdere webshops wereldwijd aangetroffen.
Baka wordt door criminelen aan webwinkels toegevoegd, bijvoorbeeld door gebruik te maken van kwetsbaarheden in het webwinkelplatform of gecompromitteerde inloggegevens. De malware laadt JavaScript van een externe server die gegevens steelt die klanten op de bestelpagina invoeren. Naast creditcardgegevens kan het dan ook om persoonlijke data gaan, zoals namen, e-mailadres, telefoonnummer en adresgegevens. De code die voor het stelen van de gegevens verantwoordelijk is wordt in het geheugen van de server geladen en is nooit aanwezig op de server van de webwinkel.
Wat verder opvallend aan de Baka-malware is, is het gebruik van obfuscatie via het Xor-algoritme, aldus Visa. Het gebruik van Xor door malware is niet nieuw, maar volgens de creditcardmaatschappij is het de eerste keer dat het algoritme door een JavaScript-skimmer wordt gebruikt. In de waarschuwing geeft Visa verder een uitgebreide uitleg van hoe de malware precies werkt en met welke domeinen de malware verbinding maakt (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.