Новые атаки MageCart используют неправильно настроенные бакеты AWS S3. Пострадали более 17 000 сайтов

Эксперты компании RiskIQ сообщили о новом витке атак MageCart. Преступники изменили тактику и автоматизировали атаки. Теперь они ищут плохо настроенные бакеты S3, заражая любые сайты и файлы JavaScript, до которых только могут  добраться.

Как ни странно, по информации исследователей, такая тактика оправдывает себя. С апреля 2019 года злоумышленники скомпрометировали более 17 000 доменов, разместив на этих сайтах JavaScript-скиммеры. Отмечается, что некоторые из этих ресурсов входят в Alexa Top-2000.

Хотя зачастую хакеры заражают сайты, вообще не являющиеся магазинами и даже не имеющие страниц оплаты, эксперты утверждают, что делая упор на количество атак, злоумышленники, в конечном итоге, не прогадали и сумели внедрить скиммеры на достаточное количество платежных страниц, что позволяет атакам оставаться прибыльными.

Сообщается, что среди пострадавших были такие фирмы, как Picreel, Alpaca Forms, AppLixir, RYVIU, OmniKick, eGain и AdMaxim. Так как эти компании предоставляют услуги другим сайтам, заражение нескольких JS-файлов привело к тому, что малварь распространилась на тысячи других ресурсов.

Исследователи пишут, что за этой кампанией стоит сравнительно новая преступная группа, оперирующая купленным скиммером Inter Skimmer Kit (продается на черном рынке уже более года и используется несколькими группировками).

В целом, по мнению RiskIQ, порог входа в данный «бизнес» остается очень низким, из-за чего веб-скимминга становится все больше. Напомню, что ранее эксперты уже описывали и классифицировали наиболее заметные группировки, занимающиеся веб-скиммингом. В настоящий момент ситуация изменилась незначительно, и хак-группы можно разделить на четыре категории:

  • «профессиональные» группировки высокого уровня. Используют веб-скимминг в качестве одного из инструментов в своем арсенале, но это не главная их цель (хорошим примером является Группа 6, группа, скомпрометировавшая British Airways);
  • группы, которые сфокусированы только на скимминге, просто совершенствуют свою малварь и методы атак (Группы 3 и 4);
  • множество мелких групп нижнего уровня. Покупают инструменты у других злоумышленников и в итоге оперируют такими решениями как Inter Skimmer Kit;
  • редкие самописные скиммеры, которые дают очень небольшую «урожайность» и появляются лишь время от времени.
"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."