Los llamados piratas informáticos Magecart continúan aprovechando los depósitos de almacenamiento de datos AWS S3 mal asegurados para insertar código malicioso en sitios web en un intento de robar datos de tarjetas de crédito o lanzar ataques de publicidad maliciosa, según una nueva investigación de RiskIQ.
Los depósitos de Amazon S3 son recursos de almacenamiento en la nube pública disponibles en AWS Simple Storage Service, y en muchos casos no están suficientemente protegidos por sus propietarios, lo que crea una oportunidad para que los actores malintencionados utilicen depósitos de S3 vulnerables para acciones nefastas.
El año pasado, RiskIQ observó una campaña de Magecart que aprovechaba los buckets S3 mal configurados para insertar skimmers de tarjetas de crédito escritos en JavaScript en cientos de sitios web. Los investigadores identificaron otra variedad de código malicioso usando el mismo vector de ataque de bucket S3, que a menudo aparece junto con el código de eliminación Magecart. Este código malicioso, 'jqueryapi1oad', estaba relacionado con una campaña de publicidad maliciosa de Hookads de larga duración, históricamente vinculada a una serie de kits de explotación y otros comportamientos maliciosos.
En mayo de 2020, los investigadores descubrieron que tres sitios web comprometidos pertenecientes a Endeavour Business Media estaban infectados con el código de eliminación Magecart. Los sitios afectados albergan contenido relacionado con servicios de emergencia y foros de chat que atienden a bomberos, policías y profesionales de seguridad, de acuerdo con RiskIQ.
El redirector jqueryapi1oad apareció por primera vez en abril de 2019 y se ha conectado a más de 270 hosts únicos hasta la fecha.
“El código mismo realiza una verificación de bot y establece la cookie jqueryapi1oad junto con un período de vencimiento basado en el resultado de la verificación. Luego crea un nuevo elemento en el DOM de la página en la que se inyecta y extrae el nuevo contenido de la URL gold.platinumus [.] Top / track / awswrite ”, dijeron los investigadores.
Luego, el código descarga un código JavaScript adicional que, a su vez, carga una cookie asociada con el sistema de distribución de tráfico Keitaro para redirigir el tráfico a anuncios fraudulentos vinculados a la campaña de publicidad maliciosa de Hookads.
El equipo de investigación se ha comunicado con Endeavor Business Media sobre el tema, pero no ha recibido noticias de la compañía. Debido a esto, RiskIQ ahora está trabajando con la firma suiza de ciberseguridad sin fines de lucro Abuse.ch para hundir los dominios maliciosos asociados con la campaña.
