Compartiments Amazon S3 mal configurés, plus de 17000 sites infectés

Les chercheurs en cybersécurité ont identifié une nouvelle attaque de chaîne d’approvisionnement ciblant les compartiments Amazon S3. Plus de 17000 domaines web, y compris plusieurs sites se trouvant dans le top 2000 du classement Alexa sont concernés.

Amazon S3 (Amazon Simple Storage Service) est un site d’hébergement de fichiers proposé par Amazon Web Services. Amazon S3 propose des services de stockage à travers des services Web (REST, SOAP et BitTorrent).

Amazon a lancé le service Amazon S3, son premier service Web, aux États-Unis en mars 2006 et en Europe en novembre 2007.

Lors de son lancement, Amazon S3 facturait à ses clients 0,15 $ américains par gigaoctet de stockage, plus des frais d’utilisation de la bande passante ascendante et descendante ainsi que des frais par requête (get ou put). Le 1er novembre 2008, une facturation progressive accordant des réductions aux clients utilisant plus de 50 téraoctets de stockage a été implantée.

Amazon a mentionné que le service Amazon S3 utilise la même architecture de stockage évolutive que Amazon.com utilise pour son réseau de commerce électronique global. Les détails de l’architecture du service Amazon S3 n’ont donc pas vraiment été révélés par Amazon. Selon Amazon, l’architecture a été conçue pour fournir extensibilité, disponibilité, rapidité d’accès et prix abordable.

Magecart n’est pas un groupe unique, ni un malware spécifique, mais une appellation générique donnée à tout les groupes de cybercriminels et individus qui injectent des skimmers digitaux sur des sites compromis.

Un nouveau rapport donne des détails sur une nouvelle campagne d’attaque de chaîne d’approvisionnement où les pirates utilisent une approche shotgun au lieu d’attaques ciblées pour infecter un nombre important de sites.

Il y’a deux mois, les chercheurs en sécurités de RiskIQ ont découvert des attaques de chaîne d’approvisionnement impliquant des skimmers de carte de crédit placés sur différents fournisseurs web, y compris AdMaxim, CloudCMS et Picreel.

Cependant, après avoir surveiller les activités, les chercheurs ont découvert que l’échelle de l’attaque est bien plus large qu’il ne le pensait.

Les Pirates Magecart Ont Ciblé Des Compartiments Amazon S3 Mal Configurés

Selon les chercheurs, depuis le début de la campagne, ce groupe de pirates Magecart a scanné Internet pour trouver des compartiments Amazon S3 mal configurés, ce qui permet à n’importe qui de voir et de modifier les fichiers qu’il contient. Ils ont injecté du code de skimming digital pour carte de crédit sur tout les fichiers JavaScript qu’ils ont trouvé.

“Bien que les pirates ont eu énormément de succès à partager leur code skimmer sur des milliers de sites, ils ont sacrifiés la précision pour avoir une plus grande portée,” ont déclaré les chercheurs.

Les pirates ne savent pas toujours si les fichiers Javascript qu’ils modifient sont réellement utilisés par un site ou un projet.

De plus, il semblerait que la plupart des fichiers Javascript infectés ne font pas partie des pages de paiement, c’est sur ces pages que les skimmers doivent être pour pouvoir capturer les détails de paiement et les envoyer vers le serveur contrôlé par les pirates.

“Les auteurs ont utilisé cette technique pour infecter le plus de monde possible, mais beaucoup de scripts compromis ne se chargent pas sur les pages de paiement,” ont déclaré les chercheurs.

“Cependant, […] même si seulement une fraction de leurs injections de skimmer retournent des données de paiement, ça vaut le coup.”

Du Code JavaScript Malveillant Qui Sait se Cacher

amazon s3 magecart credit card skimming

Pendant ce temps là, dans un autre rapport publié par l’équipe de recherche de Zscaler ThreatLabZ, les chercheurs ont divulgué des détails sur une nouvelle campagne Magecart où les pirates utilisent une approche sophistiquée et ciblée pour subtiliser des détails de carte de crédit sur les sites d’e-commerce.

Selon le rapport, au lieu d’utiliser du code de skimmer digital en JavaScript ordinaire, le groupe utilise une version contenant des payloads chiffrés pour éviter de se faire détecter par les chercheurs.

Si cet article vous a plu, jetez un œil à notre précédent article.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x