Hacker infizieren 17.000 Seiten durch falsch konfigurierte Amazon S3 Buckets

Cybersicherheitsforscher haben einen weiteren Supply-Chain-Angriff von Zahlungskarten-Hackern auf mehr als 17.000 Webdomains identifiziert, zu denen auch Websites gehören, die zu den Top-2.000 der Alexa-Rankings gehören.

Da Magecart weder eine einzelne Gruppe noch eine bestimmte Malware ist, sondern ein Oberbegriff für all jene Cyberkriminellen Gruppen und Einzelpersonen, die digitale Kartenabschäumer auf kompromittierten Websites einsetzen, ist es nicht notwendig, dass jeder von ihnen ähnliche Techniken mit der gleichen Raffinesse anwendet.

Ein neuer Bericht, der mit The Hacker News geteilt wurde, bevor er veröffentlicht wurde, beschreibt eine neue Angriffskampagne für die Lieferkette, bei der Hacker anstelle gezielter Angriffe Schrotflinten verwenden, um eine breite Palette von Websites zu infizieren, wobei sie eine möglichst größere Reichweite als Genauigkeit bevorzugen.

Vor fast zwei Monaten entdeckten Sicherheitsforscher von RiskIQ Angriffe auf die Lieferkette, bei denen Kreditkartenabschäumer bei mehreren webbasierten Anbietern wie AdMaxim, CloudCMS und Picreel eingesetzt wurden, die möglichst viele Websites infizieren wollten.

Bei einer kontinuierlichen Überwachung ihrer Aktivitäten stellten die Forscher jedoch fest, dass der tatsächliche Umfang dieser Kampagne, die Anfang April 2019 begann, viel größer ist als bisher berichtet.

Magecart Hackers Target Fehlkonfigurierte Amazon S3 Buckets

Laut den Forschern scannt diese Gruppe von Magecart-Angreifern seit Beginn der Kampagne kontinuierlich das Internet nach falsch konfigurierten Amazon S3-Bucket, die es jedem ermöglichen, die darin enthaltenen Dateien anzuzeigen und zu bearbeiten, und injiziert ihren digitalen Karten-Skimming-Code am Ende jeder gefundenen JavaScript-Datei.

"Obwohl die Angreifer viel Erfolg damit hatten, ihren Skimmer-Code auf Tausende von Websites zu verbreiten, haben sie das Targeting zugunsten der Reichweite geopfert", sagten die Forscher zu The Hacker News.

Da die Hacker nicht immer die Idee haben, ob die überschriebenen Javascript-Dateien von einer Website oder einem Projekt verwendet werden, ist es eher wie ein Pfeil im Dunkeln.

Darüber hinaus scheint es, dass viele der infizierten JavaScript-Dateien nicht einmal Teil der Zahlungsseite waren, was der primär angestrebte Ort ist, von dem aus digitale Abschäumer die Zahlungskartendaten der Benutzer erfassen und an einen von Angreifern kontrollierten Server senden.

"Die Akteure haben diese Technik genutzt, um ein möglichst breites Netz zu werfen, aber viele der kompromittierten Skripte laden nicht auf Zahlungsseiten", sagen die Forscher.

"Die Leichtigkeit des Kompromisses, die sich aus der Suche nach offenen S3-Buckets ergibt, bedeutet jedoch, dass selbst wenn nur ein Bruchteil ihrer Skimmer-Injektionen Zahlungsdaten zurückgibt, es sich lohnen wird; sie werden einen erheblichen Return on Investment haben."

Wenn Sie The Hacker News regelmäßig lesen, wissen Sie vielleicht schon, dass kaum eine Woche vergeht, ohne von einem Unternehmen zu hören, das seine sensiblen Daten im Internet veröffentlicht hat, und leider sind die meisten von ihnen diejenigen, die ihre Amazon S3 nicht richtig konfiguriert haben.

Heavily Obfuscated Malicious JavaScript Card-Skimmer

In einem separaten Bericht, der heute vom Zscaler ThreatLabZ-Forschungsteam veröffentlicht wurde, enthüllen die Forscher Details einer neu entdeckten Magecart-Kampagne, bei der Angreifer einen ausgeklügelten und zielgerichteten Ansatz verfolgen, um Kredit- und Debitkartendaten von E-Commerce-Websites zu stehlen.

Dem Bericht zufolge wurde die Gruppe nicht mit digitalem Skimming-Code in Plain-JavaScript, sondern mit einer stark verschleierten Version ihres Kartenskimmers mit verschlüsselten Nutzlasten gefunden, um zu verhindern, dass Forscher die betroffenen Websites leicht identifizieren können.

Magecart machte im vergangenen Jahr Schlagzeilen, nachdem Zahlungskarten-Hacker mehrere hochkarätige Angriffe gegen große internationale Unternehmen wie British Airways, Ticketmaster und Newegg durchgeführt hatten.

Das britische Information Commissioner's Office (ICO) hat British Airways erst kürzlich mit einer Rekordstrafe von 183 Millionen Pfund bestraft, weil es es die personenbezogenen Daten von rund einer halben Million seiner Kunden während der Sicherheitsverletzung im vergangenen Jahr nicht geschützt hat.