Uno de los grupos de Magecart (Magecart es un término general que se usa para cubrir varios grupos de ciberdelincuentes especializados en la obtención de detalles de tarjetas de crédito de formularios de pago no garantizados en sitios web) ha inyectado el código de tarjeta de pago basado en JavaScript en más de 17 000 dominios. Incluyendo los sitios web en el top 2,000 de los rankings de Alexa, utilizando un proceso automatizado para encontrar y poner en peligro los depósitos mal configurados de Amazon S3.
De acuerdo con los investigadores de RiskIQ, que han estado monitoreando de cerca las operaciones de Magecart, desde el inicio de la campaña en abril de 2019, este grupo ha estado explorando continuamente en Internet los depósitos no seguros de Amazon S3 que permiten que cualquier persona con una cuenta de Amazon Web Services pueda leer o escribir. contenido para ellos. Una vez que los atacantes encuentran un grupo de este tipo, buscan cualquier archivo JavaScript, descargan los archivos encontrados, agregan su código de marcado a la parte inferior y sobrescriben la secuencia de comandos del grupo. Esto es posible debido a los permisos mal configurados en el depósito S3, que otorga el permiso de escritura a cualquier persona.
El proceso automatizado no se dirige de manera precisa, por lo que no todos los sitios web afectados tienen funciones de procesamiento de transacciones.
“Sin embargo, la facilidad de compromiso que surge al encontrar depósitos públicos de S3 significa que incluso si solo una fracción de sus inyecciones de skimmer devuelve datos de pago, valdrá la pena; tendrán un retorno sustancial de la inversión ", explican los investigadores.
En un informe separado, el equipo de investigación de Zscaler ThreatLabZ reveló detalles técnicos de otra campaña de Magecart que utiliza métodos más sofisticados para robar información confidencial de sitios de comercio electrónico. En particular, en lugar de utilizar el código de skimming digital en JavaScript simple, el grupo ha utilizado JavaScript muy confuso con cargas útiles cifradas que dificulta a los investigadores identificar sitios web comprometidos.
