Clicky

Magecart ataca a sitios relacionados con los servicios de emergencia a través de cubos Amazon S3 inseguros

Hackers Magecart

Amazon S3 es una infraestructura de almacenamiento escalable

Grupos de piratas informáticos continúan aprovechando los cubos de almacenamiento de datos AWS S3 mal configurados para insertar código malicioso en sitios web en un intento de conocer la información de la tarjeta de crédito y llevar a cabo campañas de publicidad maliciosa.

En un nuevo informe compartido con The Hacker News, la firma de ciberseguridad RiskIQ dijo que el mes pasado identificó tres sitios web comprometidos que pertenecen a Endeavor Business Media y que aún alojan código de descremado JavaScript, una táctica clásica adoptada por Magecart, un consorcio de diferentes grupos de hackers que se dirigen sistemas de carrito de compras en línea.

Los sitios web afectados sin parchear alojan contenido relacionado con servicios de emergencia y foros de chat que atienden a bomberos, policías y profesionales de seguridad, según RiskIQ.

• www[.]officer[.]com
• www[.]firehouse[.]com
• www[.]securityinfowatch[.]com

La empresa cibernética dijo que no ha recibido noticias de Endeavor Business Media a pesar de comunicarse con la empresa para abordar los problemas.

Como consecuencia, está trabajando con la firma suiza de ciberseguridad sin fines de lucro Abuse.ch para desbaratar los dominios maliciosos asociados con la campaña.

Amazon S3 (abreviatura de Simple Storage Service) es una infraestructura de almacenamiento escalable que ofrece un medio confiable para guardar y recuperar cualquier cantidad de datos a través de una interfaz de servicios web.

código malicioso

Estos skimmers virtuales de tarjetas de crédito, también conocidos como ataques de formjacking, son típicamente código JavaScript que los operadores de Magecart insertan sigilosamente en un sitio web comprometido, a menudo en páginas de pago, diseñado para capturar los detalles de la tarjeta de los clientes en tiempo real y transmitirlo a un servidor remoto controlado por el atacante.

En julio pasado, RiskIQ descubrió una campaña similar de Magecart que aprovechaba los cubos S3 mal configurados para inyectar skimmers de tarjetas de crédito digitales en 17.000 dominios.

jqueryapi1oad

Además de usar JavaScript para cargar el skimmer, RiskIQ dijo que descubrió un código adicional que se llama "jqueryapi1oad" usado en conexión con una operación de publicidad maliciosa de larga duración que comenzó en abril de 2019 y ha infectado 277 hosts únicos hasta la fecha.

"Primero identificamos el redireccionador malicioso jqueryapi1oad, llamado así por la cookie que conectamos con él, en julio de 2019", dijeron los investigadores. "Nuestro equipo de investigación determinó que los actores detrás de este código malicioso también estaban explotando cubos S3 mal configurados".

El código establece la cookie jqueryapi1oad con una fecha de vencimiento basada en el resultado de una verificación de bot y crea un nuevo elemento DOM en la página en la que se ha inyectado. Luego, procede a descargar código JavaScript adicional que, a su vez, carga una cookie asociada con el sistema de distribución de tráfico Keitaro (TDS) para redirigir el tráfico a los anuncios fraudulentos vinculados a la campaña de publicidad maliciosa de HookAds.

url maliciosa

"El dominio futbolred [.] Com es un sitio de noticias de fútbol colombiano que se encuentra en el top 30.000 de las clasificaciones mundiales de Alexa. También configuró mal un cubo S3, dejándolo abierto a jqueryapi1oad", dijeron los investigadores.

Para mitigar estas amenazas, RiskIQ recomienda asegurar los cubos de S3 con el nivel correcto de permisos, además de usar las Listas de control de acceso (ACL) y las políticas de depósito para otorgar acceso a otras cuentas de AWS o solicitudes públicas.

"Es un problema continuo los cubos S3 mal configurados que permiten a los actores maliciosos insertar su código en numerosos sitios web", concluyó RiskIQ. "En el actual entorno de amenazas, las empresas no pueden avanzar de manera segura sin tener una huella digital, un inventario de todos los activos digitales, para garantizar que estén bajo la administración de su equipo de seguridad y estén configurados adecuadamente".

Jesus_Caceres