Home Ciberguerra El grupo Magecart comprometió 17.000 dominios mal configurados de Amazon S3 Buckets

El grupo Magecart comprometió 17.000 dominios mal configurados de Amazon S3 Buckets

Uno de los grupos cibercriminales “Magecart” ha infectado más de 17.000 sitios web con código de pago basado en JavaScript mediante el desarrollo de un proceso automatizado para encontrar y comprometer cubos de Amazon S3 mal configurados, han informado los investigadores.

“Estos actores buscan automáticamente cubos que están mal configurados para permitir a cualquiera ver y editar los archivos que contiene”, escribe Yonathan Klijnsma, investigador de RiskIQ, en un artículo publicado ayer en el blog de la empresa.

“Una vez que los atacantes encuentran un cubo mal configurado, lo escanean en busca de cualquier archivo JavaScript (que termina en.js). Luego descargan estos archivos JavaScript, añaden su código de skimming en la parte inferior y sobrescriben el script en el cubo. Esta técnica es posible debido a los permisos mal configurados en el cubo S3, que concede el permiso de escritura a cualquiera”.

Debido a que el proceso automatizado de los atacantes no está dirigido con precisión, no todas las páginas web afectadas tienen funciones de pago de comercio electrónico. Pero los que sí procesan transacciones financieras, presentan un grave peligro para los clientes y sus datos.

RiskIQ dice que la campaña comenzó a principios de abril. En mayo, se informó de que varios miles de sitios web estaban infectados con Magecart a través de proveedores de servicios web de terceros como AdMaxim y Picreel, que se habían visto comprometidos como parte de una serie de ataques a la cadena de suministro.

El campo de más de 17.000 dominios afectados por la campaña de compromiso de Amazon S3 incluye a aquellos sitios web que fueron impactados por esa serie de ataques previamente reportados, según RIskIQ. Entre las víctimas se encuentran sitios web en los 2.000 primeros puestos de la clasificación de Alexa.

A principios de esta semana, investigadores de Sanguine Security Labs reportaron un ataque automatizado de robo de tarjetas Magecart que se infiltró exitosamente en 962 tiendas en línea en 24 horas. En este caso, algunos de los sitios web victimizados eran vulnerables a los ataques de inyección de objetos PHP.