Magecart黑客通过错误配置的Amazon S3存储桶感染17000个站点

网络安全研究人员发现，支付卡黑客对17000多个网络域实施了另一次供应链攻击，其中包括Alexa排名前2000名的网站。

由于Magecart既不是一个单一的群体，也不是一个特定的恶意软件，而是一个总括术语，指的是所有那些在受损网站上注入数字卡撇取器的网络犯罪集团和个人，因此他们中的每一个人都不必使用同样复杂的类似技术。

在发布前与《黑客新闻》分享的一份新报告详细介绍了一项新的供应链攻击活动，其中黑客正在使用散弹枪方法而不是有针对性的攻击来感染范围广泛的网站，他们更喜欢更大的感染范围，而不是准确性。

大约两个月前，RiskIQ的安全研究人员发现，针对包括AdMaxim、CloudCMS和Picreel在内的多家网络供应商的信用卡撇取器的供应链攻击旨在感染尽可能多的网站。

然而，在对他们的活动进行持续监测后，研究人员发现，这场始于2019年4月初的运动的实际规模比之前报道的要大得多。

Magecart黑客攻击配置错误的Amazon S3存储桶

据研究人员称，自活动开始以来，这群Magecart攻击者一直在互联网上扫描配置错误的Amazon S3存储桶，任何人都可以查看和编辑其中包含的文件，并在找到的每个JavaScript文件底部注入他们的数字卡浏览代码。

研究人员告诉《黑客新闻》：“尽管攻击者已经成功地将他们的略读代码传播到了数千个网站，但他们为了达到目标而牺牲了目标。”。

由于黑客并不总是知道被覆盖的javascript文件是否被网站或项目使用，这更像是在黑暗中射箭。

此外，许多受感染的JavaScript文件似乎甚至不是支付页面的一部分，而支付页面是数字浏览者捕获用户支付卡详细信息并将其发送到攻击者控制的服务器的主要目标位置。

研究人员说：“演员们使用这种技术来尽可能广泛地撒网，但许多被破坏的脚本不会加载到支付页面上。”。

“然而，找到开放的S3存储桶很容易达成妥协，这意味着即使他们的撇沫器注入中只有一小部分返回支付数据，这也是值得的；他们将获得可观的投资回报。”

如果你经常阅读黑客新闻，你可能已经知道，几乎每个星期都会听说一家公司将其敏感数据暴露在互联网上，不幸的是，他们中的大多数人都未能正确配置[1,2]他们的亚马逊S3存储桶。

严重混淆的恶意JavaScript卡片略读器

与此同时，在Zscaler ThreatLabZ研究团队今天发布的另一份报告中，研究人员披露了一个新发现的Magecart活动的细节，攻击者正在使用复杂且有针对性的方法从电子商务网站窃取信用卡和借记卡的详细信息。

根据该报告，该组织没有使用纯JavaScript中的数字略读代码，而是使用了一个带有加密有效载荷的严重模糊版本的卡片略读器，试图阻止研究人员轻松识别受损网站。

去年，支付卡黑客对包括英国航空公司、Ticketmaster和Newegg在内的主要国际公司进行了几次引人注目的攻击后，Magecart成为了头条新闻。

由于在去年的安全漏洞中未能保护约50万客户的个人信息，英国信息专员办公室（ICO）昨日对英国航空公司处以创纪录的163英镑罚款；1.83亿。