Magecart tấn công vào các website liên quan đến dịch vụ khẩn cấp thông qua các S3 Bucket không an toàn

Magecart tấn công vào các website liên quan đến dịch vụ khẩn cấp

Các nhóm tin tặc đang tiếp tục lợi dụng các kho lưu trữ dữ liệu AWS S3 bucket có cấu hình sai để cấy mã độc vào các trang web trong một nỗ lực nhằm đánh cắp  thông tin thẻ tín dụng và phân phối các chiến dịch quảng cáo độc hại.

Trong một báo cáo mới được chia sẻ với The Hacker News, công ty an ninh mạng RiskIQ cho biết họ đã phát hiện ra ba trang web bị xâm phạm vào tháng trước, đều thuộc sở hữu của  Endeavour Business Media, vẫn đang lưu trữ mã skimming JavaScript – một chiến thuật kinh điển của Magecart, nhóm hacker chuyên tấn công hệ thống các cửa hàng trực tuyến.

Các trang web bị tấn công lưu trữ nội dung liên quan đến các dịch vụ khẩn cấp và diễn đàn trò chuyện phục vụ cho đối tượng lính cứu hỏa, cảnh sát, và các chuyên gia an ninh, RiskIQ cho biết thêm.

  • www[.]officer[.]com
  • www[.]firehouse[.]com
  • www[.]securityinfowatch[.]com

RiskIQ cho biết họ đã không nhận được phản hồi từ Endeavour Business Media mặc dù đã chủ động liên hệ trước với công ty này để thông báo về các vấn đề bảo mật.

Vì vậy nên, nó đã bắt tay hợp tác với một công ty an ninh mạng phi lợi nhuận của Thụy Sĩ có tên là Abuse.ch để đánh sập các tên miền độc hại liên quan đến chiến dịch này.

Amazon S3 (viết tắt của Simple Storage Service – Dịch vụ lưu trữ đơn giản) là một hạ tầng lưu trữ dữ liệu dễ dàng mở rộng, có chức năng lưu trữ và truy xuất một lượng dữ liệu lớn thông qua giao diện dịch vụ web.

cybersecurity

Các skimmer thẻ tín dụng ảo này, hay còn được biết đến như là các cuộc tấn công formjacking, thường là mã JavaScript mà những kẻ tấn công Magecart lén lút cấy vào trang web bị xâm nhập, và thường là các trang thanh toán điện tử, được thiết kế để đánh cắp thông tin thẻ của khách hàng trong thời gian thực và chuyển thông tin đó đến máy chủ của kẻ tấn công từ xa.

Tháng 7 năm ngoái, RiskIQ cũng đã phát hiện một chiến dịch Magecart tương tự lợi dụng các S3 bucket có cấu hình sai để chèn skimmer thẻ tín dụng điện tử trên 17.000 tên miền.

credit card skimmer code

Ngoài việc sử dụng JavaScript để tải skimmer, RiskIQ cho biết công ty này cũng phát hiện thêm một mã bổ sung tên là “jqueryapi1oad” được sử dụng để kết nối với một hoạt động quảng cáo độc hại kéo dài bắt đầu vào tháng 4 năm 2019 và đã lây nhiễm trên 277 host tính đến thời điểm hiện tại.

“Chúng tôi lần đầu tiên xác định được trình chuyển hướng độc hại của jqueryapi1oad – được đặt tên theo cookie mà chúng tôi kết nối với nó – vào tháng 7 năm 2019,” các nhà nghiên cứu này cho biết. “Nhóm nghiên cứu của chúng tôi cũng khẳng định rằng những kẻ tấn công đằng sau mã độc này cũng đang đồng thời khai thác các S3 bucket có cấu hình sai.”

>> Chuyên gia Nguyễn Hữu Trung – CTO CyStack nói gì về thực trạng cấu hình sai các dịch vụ lưu trữ đám mây AWS?

Mã độc này đặt jqueryapi1oad cookie với một ngày hết hạn dựa trên kết quả kiểm tra bot và tạo một DOM element mới (Document Object Model – Mô hình Đối tượng Tài liệu) trên trang web mà nó được cấy vào. Sau đó, nó tiến hành tải xuống mã JavaScript bổ sung, và lần lượt, tải một cookie được liên kết với hệ thống phân phối lưu lượng Keitaro (TDS) để chuyển hướng lưu lượng truy cập đến những quảng cáo lừa đảo liên quan đến chiến dịch quảng cáo độc hại của HookAds .

flash player

Các nhà nghiên cứu này cho biết thêm: “Tên miền futbolred [.] com thuộc về một trang tin tức bóng đá của Colombia nằm trong top 30.000 của bảng xếp hạng Alexa toàn cầu (Alexa Ranking- bảng xếp hạng mức độ phổ biến và uy tín của website). Và trang tin tức này cũng đang bị những kẻ tấn công mạng khai thác một S3 bucket có cấu hình sai, khiến nó này bị xâm phạm bởi mã quảng cáo độc hại jqueryapi1oad”.

Để giảm thiểu rủi ro từ các mối đe dọa này, RiskIQ đề xuất các trang web nên bảo vệ S3 buckets với các mức quyền truy cập phù hợp hơn, bên cạnh đó cũng nên sử dụng các danh sách kiểm soát truy cập (Access Control Lists) và có chính sách bucket hợp lý để cấp quyền truy cập cho các tài khoản AWS khác (Amazon Web Services) hay cho các yêu cầu công khai khi cần thiết.

“Lỗ hổng bảo mật từ các S3 bucket có cấu hình sai cho phép kẻ tấn công chèn mã độc của chúng trên nhiều website khác nhau vẫn đang là một vấn đề nhức nhối hiện nay”, RiskIQ kết luận. “Trong một môi trường tiềm ẩn nhiều mối đe dọa như hiện nay, các doanh nghiệp không thể phát triển một cách an toàn mà không có digital footprint – một kho lưu trữ tất cả các tài sản kỹ thuật số của doanh nghiệp – để đảm bảo những dữ liệu này nằm dưới sự quản lý chặt chẽ của nhóm bảo mật doanh nghiệp và có cấu hình đúng.”

>> Giám sát cấu hình bảo mật cho AWS bằng phần mềm Cloud Security.