Magecart infecta 17.000 sitios debido a la mala configuración de Buckets S3 de AWS

cyware.com

Un nuevo ataque mediante cadena de suministro fue detectado por investigadores de ciberseguridad. Los hackers especializados en tarjetas de pago atacaron a más de 17.000 dominios web, incluidos los 2.000 sitios mas visitados mediante Alexa.

Ya que Magecart no es un grupo de criminales específicos ni un malware, se les denomina a todos aquellos cibercriminales que inyectan skimmers digitales en sitios web comprometidos, sin requerir que todos utilicen técnicas ni sofisticación similares.

El reporte indica que los atacantes utilizaron un enfoque llamado “shotgun” (escopeta), en el cual atacaron un amplio rango de sitios, privilegiando la cantidad de infecciones en vez de concentrarse en objetivos específicos.

Hace unos meses, investigadores de seguridad de RiskIQ descubrieron estos ataques mediante cadena de suministro que involucraba los skimmers digitales de tarjetas de crédito. Sin embargo, luego del monitoreo constante de estas actividades, estos investigadores encontraron que el alcance real de esta campaña es mucho mayor a la reportada previamente.

Hackers de Magecart apuntaron a los repositorios AWS S3 mal configurados

Según los investigadores, desde el inicio de la campaña, este grupo de atacantes ha estado analizando continuamente los repositorios S3 de Amazon en busca de los que están mal configurados, los que permiten que cualquiera vea y edite los archivos que contiene, e inyectando de esta forma su código de skimmer al final de cada archivo JavaScript que encontraron.

Ya que los atacantes no siempre saben si estos archivos son utilizados activamente en los sitios, este método es similar a disparar en la oscuridad, esperando alcanzar algún objetivo entre los repositorios infectados. Muchos de los archivos JavaScript infectados ni siquiera tienen relación a métodos de pago.

El código inyectado tiene un ofuscamiento bastante fuerte:

Código ofuscado
Código sin ofuscar

Mientras tanto, un reporte distinto emitido por el equipo de investigación de Zscaler ThreatLabZ, entrega detalles de una campana recientemente descubierta de Magecart, en la cual los atacantes estuvieron utilizando un enfoque mas sofisticado y dirigido para robar los datos de las tarjetas de crédito de sitios de e-commerce.

De acuerdo al reporte, en vez de utilizar código de skimmer digital mediante JavaScript, el grupo fue detectado utilizando una versión muy ofuscada de su skimmer, la cual utiliza cargas encriptadas en un intento de que sea más difícil detectar cuales sitios estarían comprometidos.

Entre los ataques con Magecart mas conocidos se encuentran los casos de British Airways, Ticketmaster y Newegg. Las multas en el caso de British Airways ascienden a 183 millones de libras esterlinas.

Fuentes:
https://thehackernews.com/2019/07/magecart-amazon-s3-hacking.html
https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/
https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/
https://www.helpnetsecurity.com/2019/07/11/magecart-unsecured-s3-buckets/
https://unaaldia.hispasec.com/2019/07/magecart-golpea-de-nuevo-amazon-s3-como-vector-de-ataque-contra-17-000-webs.html
https://www.wired.com/story/magecart-amazon-cloud-hacks/