По данным ИБ-экспертов, злоумышленники из группировки Magecart внедрили код скиммера в JavaScript-файлы более 17 тыс. сайтов, использующих облачные хранилища Amazon S3. Некоторые из атакованных веб-ресурсов входят в список 2000 самых посещаемых сайтов в рейтинге Alexa.

Как отмечают исследователи, киберпреступники начали сканировать Интернет в поисках доступных на запись контейнеров Amazon S3 в начале апреля этого года. В плохо защищенных корзинах они находили JavaScript-файлы и добавляли в них вредоносный код из коммерческого набора Inter Skimmer Kit. Последний почти год рекламировался на мошеннических площадках, и теперь им пользуются многие преступные группы.

«Злоумышленники использовали эту технику для создания как можно более широкой сети зараженных сайтов, но многие из скомпрометированных скриптов не загружаются на страницах оплаты. Тем не менее, простота атаки через общедоступные контейнеры S3 позволяет мошенникам окупить вложения даже в том случае, если платежную информацию похитит лишь часть внедренных ими онлайн-скиммеров», — пояснил журналистам исследователь Йонатан Клинсма (Yonathan Klijnsma).

По его словам, эта кампания демонстрирует, насколько легко злоумышленники могут скомпрометировать огромное количество сайтов, внедряя на них вредоносные скрипты через неправильно настроенные контейнеры S3. Администраторам веб-ресурсов Клинсма посоветовал использовать белые списки и отключить возможность чтения и редактирования документов посторонними на серверах Amazon. Также, чтобы убедиться, что сайт не был скомпрометирован ранее, можно проверить логи и даты изменения файлов в контейнерах.

Это вторая кампания группировки Magecart за неделю: ранее эксперты обнаружили, что злоумышленникам удалось за сутки взломать 962 торговые площадки на базе CMS Magento. В ходе атак злоумышленники также внедряли на сайты скиммер.

Категории: Кибероборона, Уязвимости, Хакеры