Magecart si rivolge a siti correlati ai servizi di emergenza tramite bucket S3 insicuri

9 Giugno 2020 - Tempo di lettura: 20 minuti

I gruppi di hacking continuano a sfruttare i bucket di archiviazione dati AWS S3 non configurati correttamente per inserire codice dannoso nei siti Web nel tentativo di scorrere le informazioni della carta di credito e realizzare campagne di malvertising. 

In un nuovo rapporto condiviso con The Hacker News, la società di cybersecurity RiskIQ ha affermato di aver identificato tre siti Web compromessi appartenenti a Endeavor Business Media il mese scorso che ancora ospitano il codice di scrematura JavaScript - una tattica classica abbracciata da Magecart , un consorzio di diversi gruppi di hacker che prendono di mira online sistemi di carrello. 

I siti Web interessati senza patch ospitano contenuti relativi ai servizi di emergenza e forum di chat rivolti a vigili del fuoco, agenti di polizia e professionisti della sicurezza, secondo RiskIQ.

• www [.] officer [.] com
• www [.] caserma dei pompieri [.] com
• www [.] securityinfowatch [.] com

La società informatica ha dichiarato di non aver ricevuto risposta da Endeavour Business Media nonostante abbia contattato l'azienda per risolvere i problemi.
Di conseguenza, collabora con la società svizzera di sicurezza informatica senza scopo di lucro Abuse.ch per affondare i domini malevoli associati alla campagna. 

Amazon S3 (abbreviazione di Simple Storage Service) è un'infrastruttura di archiviazione scalabile che offre un mezzo affidabile per salvare e recuperare qualsiasi quantità di dati tramite un'interfaccia di servizi Web.
Questi skimmer di carte di credito virtuali, noti anche come attacchi di formjacking , sono in genere codice JavaScript che gli operatori Magecart inseriscono di nascosto in un sito Web compromesso, spesso su pagine di pagamento, progettati per acquisire i dettagli della carta dei clienti in tempo reale e trasmetterli a un utente malintenzionato remoto o server controllato. 


Lo scorso luglio, RiskIQ ha scoperto una campagna Magecart simile sfruttando buckets S3 non configurati per iniettare skimmer di carte di credito digitali in 17.000 domini.

Oltre a utilizzare JavaScript per caricare lo skimmer, RiskIQ ha affermato di aver scoperto un codice aggiuntivo che chiama "jqueryapi1oad" utilizzato in relazione a un'operazione di malvertising di lunga durata iniziata nell'aprile 2019 e che ha infettato 277 host unici fino ad oggi. 

"Abbiamo identificato per la prima volta il redirector dannoso jqueryapi1oad - così chiamato in base al cookie a cui ci siamo collegati - nel luglio del 2019", hanno detto i ricercatori. "Il nostro team di ricerca ha stabilito che anche gli attori dietro questo codice maligno stavano sfruttando i bucket S3 non configurati correttamente."Il codice imposta il cookie jqueryapi1oad con una data di scadenza basata sul risultato di un controllo bot e crea un nuovo elemento DOM nella pagina in cui è stato iniettato. Quindi procede con il download del codice JavaScript aggiuntivo che, a sua volta, carica un cookie associato al sistema di distribuzione del traffico Keitaro ( TDS ) per reindirizzare il traffico verso annunci truffa legati alla campagna di malvertising di HookAds.

"Il dominio futbolred [.] Com è un sito di notizie sul calcio colombiano che si colloca tra le prime 30.000 classifiche mondiali di Alexa. Ha anche configurato erroneamente un bucket S3, lasciandolo aperto a jqueryapi1oad", hanno detto i ricercatori. 

Per mitigare queste minacce, RiskIQ consiglia di proteggere i bucket S3 con il giusto livello di autorizzazioni , oltre a utilizzare gli elenchi di controllo di accesso (ACL) e le policy bucket per concedere l'accesso ad altri account AWS o richieste pubbliche.

"I bucket S3 non configurati correttamente che consentono agli hackers malintenzionati di inserire il proprio codice in numerosi siti Web sono un problema in corso", ha concluso RiskIQ. "Nell'attuale situazione della minaccia, le aziende non possono andare avanti in sicurezza senza avere un'impronta digitale, un inventario di tutte le risorse digitali, per garantire che siano gestite dal team di sicurezza e configurate correttamente."