Одна из группировок Magecart атаковала сайты, связанные с экстренными службами

Одна из группировок Magecart атаковала сайты, связанные с экстренными службами

Злоумышленники использовали некорректно настроенные бакеты Amazon S3 для внедрения JavaScript-кода на web-сайты.

image

Специалисты из ИБ-компании RiskIQ сообщили о трех скомпрометированных web-сайтах, принадлежащих компании Endeavor Business Media. Одна из группировок Magecart использовала некорректно настроенные бакеты Amazon S3 для внедрения JavaScript-кода на web-сайты с целью кражи данных кредитных карт.

На уязвимых ресурсах размещался контент, связанный с аварийными службами, и форумы чатов, предназначенные для пожарных, полицейских и специалистов по безопасности. Эксперты сообщили Endeavour Business Media о своих находках, однако компания не отреагировала на уведомление.

Помимо JavaScript-кода, специалисты также обнаружили дополнительный код, получивший название jqueryapi1oad. Преступники использовали его в ходе длительной вредоносной кампании, которая началась в апреле 2019 года и, по имеющимся данным, заразила 277 уникальных хостов.

Код устанавливает выполняет проверку на наличие ботов и устанавливает cookie-файл jqueryapi1oad с датой истечения срока действия, основанной на результатах проверки, а также создает DOM-элемент на странице. Затем происходит загрузка дополнительного JavaScript-кода, который, в свою очередь, загружает cookie-файл, связанный с системой управления трафиком (Traffic Distribution System, TDS) Keitaro, для перенаправления трафика на мошеннические объявления в рамках вредоносной рекламной кампании HookAds.

Amazon Simple Storage Service (Amazon S3) – объектное хранилище, предоставляемое Amazon Web Services. Сервис позволяет хранить любой объем данных и извлекать данные через интернет.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle