Одна из группировок Magecart атаковала сайты, связанные с экстренными службами

Вт 9 Июнь 2020 12:27

Специалисты из ИБ-компании RiskIQ сообщили о трех скомпрометированных web-сайтах, принадлежащих компании Endeavor Business Media. Одна из группировок Magecart использовала некорректно настроенные бакеты Amazon S3 для внедрения JavaScript-кода на web-сайты с целью кражи данных кредитных карт.

На уязвимых ресурсах размещался контент, связанный с аварийными службами, и форумы чатов, предназначенные для пожарных, полицейских и специалистов по безопасности. Эксперты сообщили Endeavour Business Media о своих находках, однако компания не отреагировала на уведомление.

Помимо JavaScript-кода, специалисты также обнаружили дополнительный код, получивший название jqueryapi1oad. Преступники использовали его в ходе длительной вредоносной кампании, которая началась в апреле 2019 года и, по имеющимся данным, заразила 277 уникальных хостов.

Код устанавливает выполняет проверку на наличие ботов и устанавливает cookie-файл jqueryapi1oad с датой истечения срока действия, основанной на результатах проверки, а также создает DOM-элемент на странице. Затем происходит загрузка дополнительного JavaScript-кода, который, в свою очередь, загружает cookie-файл, связанный с системой управления трафиком (Traffic Distribution System, TDS) Keitaro, для перенаправления трафика на мошеннические объявления в рамках вредоносной рекламной кампании HookAds.

Amazon Simple Storage Service (Amazon S3) – объектное хранилище, предоставляемое Amazon Web Services. Сервис позволяет хранить любой объем данных и извлекать данные через интернет.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 254 дня 15 часов 33 минуты 23 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.