Группа авторов Magecart сменила тактику, перейдя от целенаправленных атак против тщательно отобранных целей к подходу «spray-and-pray» (на кого Бог пошлёт), взламывая всё, что попадёт под руку в надежде на то, что их вредоносный код осядет в каком-нибудь интернет-магазине. Magecart, напомним, ворует данные банковских карт, которые пользователи вводят на страницах оплаты в различных онлайн-сервисах.
Согласно докладу, опубликованному компанией по кибербезопасности RiskIQ, новая тактика приносит свои плоды: за последние несколько месяцев, начиная с апреля, хакерам Magecart удалось внедрить вредоносный код на более чем 17 000 доменов, часть из которых входит в список Alexa Top 2000.
Для этого хакеры находили неправильно настроенные хранилища AWS S3 с открытым доступом на чтение и запись. Затем они запускали сканирование для выявления любых файлов JavaScript и при нахождении таковых внедряли в них код Magecart.
Хакеры Magecart «забрасывали» широкую сеть, меняя код множества сайтов, у многих из которых вообще нет функции электронной коммерции, в надежде найти достаточно ресурсов с поддержкой обработки платежей с использованием кредитных карт.
Среди жертв оказались компании Picreel, Alpaca Forms, AppLixir, RYVIU, OmniKick, eGain и AdMaxim, которые предоставляют услуги другим веб-сайтам. Поэтому после взлома нескольких файлов JavaScript злоумышленникам удалось распространить вредоносный код на тысячи других сайтов. Этот вредоносный код эффективен в поиске данных платёжных карт, включая имя владельца, номер карты, срок действия и код CVV.
Исследователи предупреждают, что группа злоумышленников Magecart продолжает постоянно сканировать Интернет на предмет неверно настроенных хранилищ Amazon S3, не имеющих надлежащей защиты с помощью пароля и аутентификации.
Источник: