Hackers Magecart Infectam 17.000 Sites Através de Baldes Amazon S3 Mal Configurados

Magecart ataca novamente!

Pesquisadores de segurança cibernética identificaram mais um ataque na cadeia de suprimentos realizado por hackers de cartões de pagamento contra mais de 17.000 domínios da web, que também incluem sites nos 2.000 melhores rankings do Alexa.

Como Magecart não é um grupo único nem um malware específico, em vez disso, um termo abrangente dado a todos os grupos criminosos cibernéticos e indivíduos que injetam skimmers de cartão digital em sites comprometidos, não é necessário que cada um deles use técnicas semelhantes com a mesma sofisticação .

Um novo relatório compartilhado com o Hacker News antes de seu lançamento detalha uma nova campanha de ataque da cadeia de suprimentos em que hackers estão usando a abordagem shotgun ao invés de ataques direcionados para infectar uma grande variedade de sites, preferindo um maior alcance de infecção.

Em abril de 2019, pesquisadores de segurança da RiskIQ descobriram ataques na cadeia de suprimentos envolvendo skimmers de cartões de crédito colocados em vários fornecedores baseados na web, incluindo AdMaxim, CloudCMS e Picreel, com a intenção de infectar o maior número possível de sites.

No entanto, após o monitoramento contínuo de suas atividades, os pesquisadores descobriram que a escala real dessa campanha, que começou no início de abril de 2019, é muito maior do que a relatada anteriormente.

Magecart Hackers Target Buckets Amazon S3 mal configurados

De acordo com os pesquisadores, desde o início da campanha, esse grupo de invasores da Magecart tem escaneado continuamente a Internet por baldes do Amazon S3 mal configurados, o que permite a qualquer um visualizar e editar arquivos, e injetar seu código de skimming digital na parte inferior. de todos os arquivos JavaScript que eles encontram.

‘Embora os invasores tenham tido muito sucesso espalhando seu código skimmer para milhares de sites, eles sacrificaram o alvo em favor do alcance’, disseram os pesquisadores ao The Hacker News.

Como os hackers nem sempre têm idéia se os arquivos de javascript sobrescritos estão sendo usados ​​por um site ou projeto, é mais como disparar uma flecha no escuro.

Além disso, parece que muitos dos arquivos JavaScript infectados não faziam parte da página de pagamento, que é o local prioritário de onde os skimmers digitais capturam os detalhes do cartão de pagamento dos usuários e os enviam para um servidor controlado pelo invasor.

‘Os atores usaram essa técnica para lançar a maior rede possível, mas muitos dos scripts comprometidos não são carregados nas páginas de pagamento’, dizem os pesquisadores.

‘No entanto, a facilidade de compromisso resultante da descoberta de buckets S3 abertos significa que mesmo que apenas uma fração de suas injeções de skimmer retorne dados de pagamento, valerá a pena; eles terão um retorno substancial sobre o investimento’.

Se você ler The Hacker News regularmente, você já deve saber que quase uma semana se passa sem ouvir falar de uma empresa que deixou seus dados confidenciais expostos na Internet e, infelizmente, a maioria deles é a única que não conseguiu configurar [1, 2 ] seus baldes Amazon S3 corretamente.

Skimmer de cartão malicioso malicioso altamente ofuscado

Enquanto isso, em um relatório separado divulgado pela equipe de pesquisadores do Zscaler ThreatLabZ, pesquisadores revelam detalhes de uma recém descoberta campanha da Magecart onde os atacantes estão usando uma abordagem sofisticada e direcionada para roubar detalhes de cartões de crédito e débito de sites de comércio eletrônico.

De acordo com o relatório, em vez de usar o código de skimming digital em JavaScript simples, o grupo foi encontrado usando uma versão fortemente ofuscada de seu skimmer com cargas criptografadas em uma tentativa de impedir que os pesquisadores identifiquem facilmente os sites comprometidos.

A Magecart ganhou as manchetes no ano passado, depois que hackers de cartões de pagamento realizaram vários ataques de alto perfil contra grandes empresas internacionais, incluindo a British Airways, a Ticketmaster e a Newegg.

Por não proteger as informações pessoais de cerca de meio milhão de seus clientes durante a violação de segurança do ano passado, o Escritório de Comissionamento da Informação da Grã-Bretanha (ICO) acertou ontem a British Airways com uma multa recorde de £ 183 milhões.

Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso Grupo LinkedIn.

E Não esqueça de visitar o site da Delta Servers para acompanhar todos os os serviços, Visite: www.deltaservers.com.br para saber mais informações.