17.000 domæner ramt af ondsindet skimming-script via skrivbart cloud-storage

En ondsindet aktør har brugt fejl-konfigurerede lagringsområder i Amazons S3 til at inficere domæner med skimming-software.

Forskere hos RiskIQ har opdaget et bredt angreb, der har ramt et hav af webshops i en skimming-kampagne med softwaren Magecart.

Det oplyser Bleeping Computer med henvisning til et indlæg fra RiskIQ.

Et skimming-angreb vil sige, at ondsindet kode - eksempelvis javascript - bliver skudt ind på den del af en ellers legitim webshop, hvor betalingskort-oplysninger bliver indtastet. Den onsindede kode forsøger så at opfange kortoplysningerne og sende dem til angriberen. Den slags har der været adskillige tilfælde af de senere år.

Også herhjemme hvor en af de mere opsigtsvækkende sager handlede om Bahne, der blev særdeles hårdt ramt.

S3-buckets med skriveadgang

I forhold til opdagelsen fra RiskIQ, så handler det om en aktør, der systematisk har scannet Amazons storage-tjeneste S3 efter såkaldte buckets med skriveadgang. En S3-bucket er kortfortalt en storage-ressource, hvor der kan ligge en fil. Eksempelvis et javascript.

Når aktøren, som RiskIQ har identificeret, finder en bucket med skriveadgang, bliver der yderligere scannet efter en javascript-fil - det vil her sige en fil, der slutter på .js.

Og hvis sådan en fil bliver fundet, så putter angriberen skimming-kode i enden af filen, som så potentielt bliver eksekveret, næste gang en kunde er ved at betale for sine varer i en ellers legitim online-forretning.

Head of threat research hos RiskIQ Yonathan Klijnsma beskriver det i virksomhedens indlæg således:

»Once the attackers find a misconfigured bucket, they scan it for any JavaScript file (ending in .js). They then download these JavaScript files, append their skimming code to the bottom, and overwrite the script on the bucket.«

Ifølge RiskIQ er 17.000 domæner blevet påvirket af angrebet. Herunder flere domæner på top-2.000 listen hos Amazons Alexa-opgørelse.

Spredehagl

RiskIQ bemærker dog, at bare fordi, det er lykkedes angriberne at få lagt skimmerkode ind på et javascript, der kører på et site, så er det ikke nødvendigvis sikkert, den ondsindede kode faktisk har kørt på den del af sitet, hvor kunder indtaster kortoplysninger.

Og dermed er det altså heller ikke sikkert, angriberen har fået fat på kortoplysningerne.

Men som Yonathan Klijnsma er inde på, så betyder omfanget af angrebet, at hvis blot en brøkdel af skimmerkoden er havnet de rigtige steder (set fra angriberens perspektiv), ja, så har det kunnet betale sig.

»However, the ease of compromise that comes from finding public S3 buckets means that even if only a fraction of their skimmer injections returns payment data, it will be worth it; they will have a substantial return on investment.«

RiskIQ har nogle tips til at undgå at blive et offer for et angreb som ovenstående.

Eksempelvis er det en god idé ikke at give alle skriveadgang til en S3-bucket.

»Never give write permissions to everyone,« som det bliver formuleret i RiskIQ-indlægget.

Læs mere om best practice for S3-buckets i indlægget hos RiskIQ og her hos Amazon selv.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere