คนร้ายสแกนหา S3 ที่ตั้งค่าไม่ดีเข้าฝัง JavaScript ขโมยข้อมูล Payment พบเหยื่อกว่า 17,000 โดเมน

RiskIQ บริษัทด้าน Threat Intelligence ได้ออกรายงานพบแคมเปญของกลุ่มแฮ็กเกอร์ที่มีพฤติกรรมฝัง Script อันตรายเพื่อลอบขโมยข้อมูลบัตรเครดิต (Magecart) ที่แสกนหาเหยื่อบน S3 ที่ตั้งค่าไม่ดีเข้าไปฝัง Script อันตรายของตน โดยมีเหยื่อแล้วกว่า 17,000 โดเมนภายในระยะเวลาไม่กี่เดือน

ไอเดียคือคนร้ายได้อาศัยความเลินเล่อในการตั้งค่า S3 ไม่ดีพอ โดย นาย Yonathan Klijnsma หัวหน้าหน่วยวิจัยจาก RiskIQ กล่าวว่า “เมื่อคนร้ายพบ S3 ที่ตั้งค่าได้ไม่ดีแล้ว พวกเขาจะสแกนหาไฟล์ JavaScript (.js) และดาวน์โหลดมาเพื่อแก้ไขแนบท้ายไฟล์เหล่านั้นด้วยโค้ดสำหรับ Skimming จากนั้นจะเขียนทับ Script กลับไปใน Bucket” ทั้งนี้แคมเปญนี้เพิ่งจะถูกสังเกตพบในเวลาไม่กี่เดือนเท่านั้นแต่ RiskIQ เผยว่ามีเหยื่อแล้วถึง 17,000 โดเมน นอกจากนี้บางเว็บไซต์ยังติดหนึ่งในการจัดอันดับ Top 2000 ของ Alexa ด้วย

อย่างไรก็ตามผู้เชี่ยวชาญยังชี้ว่ากลุ่มคนร้ายเบื้องหลังเหตุการณ์ครั้งนี้ไม่ได้เป็นมือโปรเท่าไหร่นักเพราะเพียงอาศัย Script ที่ซื้อมาจากตลาดใต้ดินมาประกอบกับความเลินเล่อของผู้ใช้งาน S3 ถึงแม้ว่าไม่ใช่มือโปรที่เล็งเป้าหมายแบบเจาะจงแต่ก็ไม่ใช่ว่าอันตรายน้อยลงนะครับ ดังนั้นแนะนำให้ผู้ใช้งานตั้งค่า S3 ให้เหมาะสมกันด้วย

ที่มา :  https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/ และ  https://www.bleepingcomputer.com/news/security/over-17-000-domains-infected-with-code-that-steals-card-data/