Злoумышлeнники испoльзoвaли нeкoррeктнo нaстрoeнныe бaкeты Amazon S3 ради внeдрeния JavaScript-кoдa нa web-сaйты.
Спeциaлисты изо ИБ-кoмпaнии RiskIQ сooбщили o трex скoмпрoмeтирoвaнныx web-сайтах, принадлежащих компании Endeavor Business Media. Одна с группировок Magecart использовала некорректно настроенные бакеты Amazon S3 про внедрения JavaScript-заключение на web-сайты с целью кражи данных кредитных карт.
В уязвимых ресурсах размещался контент, двусвязный с аварийными службами, и форумы чатов, предназначенные угоду кому) пожарных, полицейских и специалистов вдоль безопасности. Эксперты сообщили Endeavour Business Media о своих находках, что ни говорите компания не отреагировала держи уведомление.
Помимо JavaScript-заключение, специалисты также обнаружили взаимодополнительный. Ant. основной код, получивший (про)звание jqueryapi1oad. Преступники использовали его в ходе длительной вредоносной кампании, которая началась в апреле 2019 годы и, по имеющимся данным, заразила 277 уникальных хостов.
Адрес устанавливает выполняет проверку получай наличие ботов и устанавливает cookie-обложка jqueryapi1oad с датой истечения срока поступки, основанной на результатах проверки, а и создает DOM-элемент держи странице. Затем происходит заваливание дополнительного JavaScript-заключение, который, в свою ряд, загружает cookie-обложка, связанный с системой управления трафиком (Traffic Distribution System, TDS) Keitaro, чтобы перенаправления трафика сверху мошеннические объявления в рамках вредоносной рекламной кампании HookAds.
Amazon Simple Storage Service (Amazon S3) – объектное субурган, предоставляемое Amazon Web Services. Служба позволяет хранить какой бы то ни был объем данных и заимствовать данные через паутина.
Источник
