Những tác nhân đe dọa đứng sau các chiến dịch skimming đang sử dụng JavaScript độc hại để bắt chước các tập lệnh Google Analytics và Meta Pixel nhằm tránh bị phát hiện. Chúng đã làm xáo trộn tập lệnh skimming bằng cách mã hóa nó bằng ngôn ngữ lập trình PHP. Tập lệnh này được nhúng vào tệp hình ảnh. Với chiêu trò này, mã được thực thi khi trang mặc định (index page) của website được tải về.
Thuật ngữ "skimming" (đánh cắp thông tin) nói đến hoạt động tội phạm thu thập thông tin của khách hàng truy cập trang web để phục vụ công việc thanh toán. Tin tặc khai thác các lỗ hổng trong những nền tảng thương mại điện tử và CMS nhằm cấy tập lệnh skimming vào trang của cửa hàng thương mại điện tử. Trong một số trường hợp, những kẻ tấn công có thể khai thác các lỗ hổng trong các plugin (phần mềm được các nhà phát triển website viết ra để tích hợp vào trong website WordPress) và chủ đề mà bên thứ ba đã cài đặt để cấy vào đó các tập lệnh độc hại.
Phân tích của Microsoft cho biết: "Trong quá trình nghiên cứu, chúng tôi đã gặp hai trường hợp tệp hình ảnh độc hại được tải lên máy chủ lưu trữ trên Magento. Cả hai hình ảnh đều chứa tập lệnh PHP với JavaScript được mã hóa Base64 và chúng có mã JavaScript giống hệt nhau, nhưng hơi khác nhau trong cách triển khai PHP. Hình ảnh đầu tiên được ngụy trang dưới dạng biểu tượng yêu thích (còn được gọi là phím tắt hoặc biểu tượng URL) đã có trên VirusTotal trong khi hình ảnh còn lại là tệp hình ảnh web đặc thù do nhóm của chúng tôi phát hiện".
Microsoft cũng quan sát thấy những kẻ tấn công giả mạo tập lệnh Google Analytics và Meta Pixel (trước đây là Facebook Pixel) để tránh gây nghi ngờ.
Những kẻ tấn công đặt một chuỗi ký tự được mã hóa Base64 bên trong mã trình quản lý thẻ của Google (Google Tag Manager) giả mạo. Chuỗi này được giải mã thành trafficapps [.] Business / data [.] Php? P = form. Tập lệnh skimming được mã hóa trong mã Google Analytics giả mạo
Các chuyên gia nhận thấy rằng những kẻ tấn công đằng sau việc giả mạo Meta Pixel đã sử dụng các tên miền mới được đăng ký (NRD) HTTPS.
Microsoft kết luận: "Khi các chiến thuật né tránh ngày càng gia tăng trong các chiến dịch skimming, các tổ chức nên đảm bảo rằng các nền tảng thương mại điện tử, CMS và các plugin đã cài đặt của mình được cập nhật các bản vá bảo mật mới nhất và chỉ tải xuống cũng như sử dụng các plugin và dịch vụ của bên thứ ba tin cậy"./.