amazon s3

Compartiments Amazon S3 mal configurés, plus de 17000 sites infectés

Les chercheurs en cybersécurité ont identifié une nouvelle attaque de chaîne d’approvisionnement ciblant les compartiments Amazon S3. Plus de 17000 domaines web, y compris plusieurs sites se trouvant dans le top 2000 du classement Alexa sont concernés.

Magecart n’est pas un groupe unique, ni un malware spécifique, mais une appellation générique donnée à tout les groupes de cybercriminels et individus qui injectent des skimmers digitaux sur des sites compromis.

Un nouveau rapport donne des détails sur une nouvelle campagne d’attaque de chaîne d’approvisionnement où les pirates utilisent une approche shotgun au lieu d’attaques ciblées pour infecter un nombre important de sites.

Il y’a deux mois, les chercheurs en sécurités de RiskIQ ont découvert des attaques de chaîne d’approvisionnement impliquant des skimmers de carte de crédit placés sur différents fournisseurs web, y compris AdMaxim, CloudCMS et Picreel.

Cependant, après avoir surveiller les activités, les chercheurs ont découvert que l’échelle de l’attaque est bien plus large qu’il ne le pensait.

Les Pirates Magecart Ont Ciblé Des Compartiments Amazon S3 Mal Configurés

Selon les chercheurs, depuis le début de la campagne, ce groupe de pirates Magecart a scanné Internet pour trouver des compartiments Amazon S3 mal configurés, ce qui permet à n’importe qui de voir et de modifier les fichiers qu’il contient. Ils ont injecté du code de skimming digital pour carte de crédit sur tout les fichiers JavaScript qu’ils ont trouvé.

“Bien que les pirates ont eu énormément de succès à partager leur code skimmer sur des milliers de sites, ils ont sacrifiés la précision pour avoir une plus grande portée,” ont déclaré les chercheurs.

Les pirates ne savent pas toujours si les fichiers Javascript qu’ils modifient sont réellement utilisés par un site ou un projet.

De plus, il semblerait que la plupart des fichiers Javascript infectés ne font pas partie des pages de paiement, c’est sur ces pages que les skimmers doivent être pour pouvoir capturer les détails de paiement et les envoyer vers le serveur contrôlé par les pirates.

“Les auteurs ont utilisé cette technique pour infecter le plus de monde possible, mais beaucoup de scripts compromis ne se chargent pas sur les pages de paiement,” ont déclaré les chercheurs.

“Cependant, […] même si seulement une fraction de leurs injections de skimmer retournent des données de paiement, ça vaut le coup.”

Du Code JavaScript Malveillant Qui Sait se Cacher

amazon s3 magecart credit card skimming

Pendant ce temps là, dans un autre rapport publié par l’équipe de recherche de Zscaler ThreatLabZ, les chercheurs ont divulgué des détails sur une nouvelle campagne Magecart où les pirates utilisent une approche sophistiquée et ciblée pour subtiliser des détails de carte de crédit sur les sites d’e-commerce.

Selon le rapport, au lieu d’utiliser du code de skimmer digital en JavaScript ordinaire, le groupe utilise une version contenant des payloads chiffrés pour éviter de se faire détecter par les chercheurs.

Si cet article vous a plu, jetez un œil à notre précédent article.