Magecart黑客通過錯誤配置的Amazon S3存儲桶攻擊了17000個網站
Magecart再度來襲!
網絡安全研究人員已經確認,這些針對支付卡的黑客又對17000多個網站發起了新一輪供應鏈攻擊,其中包括在Alexa排名前2000的網站。
Magecart既不是特定的群體,也不是某款惡意軟件,而是對那些在已淪陷的網站上注入用於竊取支付卡的惡意代碼的網絡犯罪團體和個人的統稱,每個人使用的攻擊和竊取技術都不盡相同。
TheHackerNews從一份剛剛掌握的報告中,詳細瞭解到一起最新的針對供應鏈的攻擊活動,攻擊者沒有偏向特定的目標,而是希望儘可能攻擊更多的網站。
近兩個月前,RiskiQ的安全研究人員發現了新的供應鏈攻擊,涉及多家廠商的信用卡,包括AdMaxim, CloudCMS和Picreel,這次攻擊者打算感染儘可能多的網站。
而且,通過對此次攻擊活動的持續監測,研究人員發現,這起2019年4月初開始發動的攻擊的實際規模比之前報道的要大得多。
又是Amazon S3存儲桶
據安全研究人員稱,這組Magecart攻擊者一直在互聯網上掃描存在錯誤配置的Amazon S3存儲桶(即允許任何人查看和編輯其中包含的文件),並將他們用於竊取支付卡數據的惡意代碼插入能找到的每個javascript文件中。
由於攻擊者並不知道這些注入的javascript文件是否被網站或項目使用,所以這更像是無特定目標的大範圍攻擊。
此外,許多受感染的javascript文件甚至都不是支付網頁(即和支付卡有關)的一部分。
研究人員表示:“攻擊者使用這種技術儘可能多地感染文件,但是許多腳本根本不會加載到支付網頁上。”
“但是,這種攻擊的成本很低,所以即使只有一小部分文件是正確目標,攻擊者也可獲得可觀的回報。”
如果你經常閱讀黑客新聞,那麼你肯定知道,幾乎每星期都會聽到某家大公司的敏感數據暴露在互聯網上,而這其中,往往都有Amazon S3存儲桶的身影。
惡意代碼
而在Zscaler ThreatLabZ研究小組發佈的另一份報告中,研究人員披露了一個新發現的Magecart攻擊細節,攻擊者正在使用一種複雜的、有針對性的方法從電子商務網站竊取支付卡信息。
據報告稱,研究小組沒有使用簡單的javascript惡意代碼,而是使用了一個混淆的很厲害且經過加密的代碼,以防止研究人員輕易識別出來。
去年,Magecart黑客就對包括英國航空公司、Ticketmaster和Newegg在內的幾家國際大公司發起了幾次震驚世界的攻擊。
英國信息專員辦公室(ICO)近期以1.83億英鎊的創紀錄罰款懲罰了英國航空公司,因其在去年的安全漏洞事件中沒有保護好50萬客戶的敏感信息。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場
來源:https://nosec.org/home/detail/2774.html
原文:https://thehackernews.com/2019/07/magecart-amazon-s3-hacking.html
白帽匯從事信息安全,專注於安全大數據、企業威脅情報。
公司產品:FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。