คนร้ายสแกนหา S3 ที่ตั้งค่าไม่ดีเข้าฝัง JavaScript ขโมยข้อมูล Payment พบเหยื่อกว่า 17,000 โดเมน

RiskIQ บริษัทด้าน Threat Intelligence ได้ออกรายงานพบแคมเปญของกลุ่มแฮ็กเกอร์ที่มีพฤติกรรมฝัง Script อันตรายเพื่อลอบขโมยข้อมูลบัตรเครดิต (Magecart) ที่แสกนหาเหยื่อบน S3 ที่ตั้งค่าไม่ดีเข้าไปฝัง Script อันตรายของตน โดยมีเหยื่อแล้วกว่า 17,000 โดเมนภายในระยะเวลาไม่กี่เดือน

Credit: BoBaa22/ShutterStock

ไอเดียคือคนร้ายได้อาศัยความเลินเล่อในการตั้งค่า S3 ไม่ดีพอ โดย นาย Yonathan Klijnsma หัวหน้าหน่วยวิจัยจาก RiskIQ กล่าวว่า “เมื่อคนร้ายพบ S3 ที่ตั้งค่าได้ไม่ดีแล้ว พวกเขาจะสแกนหาไฟล์ JavaScript (.js) และดาวน์โหลดมาเพื่อแก้ไขแนบท้ายไฟล์เหล่านั้นด้วยโค้ดสำหรับ Skimming จากนั้นจะเขียนทับ Script กลับไปใน Bucket” ทั้งนี้แคมเปญนี้เพิ่งจะถูกสังเกตพบในเวลาไม่กี่เดือนเท่านั้นแต่ RiskIQ เผยว่ามีเหยื่อแล้วถึง 17,000 โดเมน นอกจากนี้บางเว็บไซต์ยังติดหนึ่งในการจัดอันดับ Top 2000 ของ Alexa ด้วย

อย่างไรก็ตามผู้เชี่ยวชาญยังชี้ว่ากลุ่มคนร้ายเบื้องหลังเหตุการณ์ครั้งนี้ไม่ได้เป็นมือโปรเท่าไหร่นักเพราะเพียงอาศัย Script ที่ซื้อมาจากตลาดใต้ดินมาประกอบกับความเลินเล่อของผู้ใช้งาน S3 ถึงแม้ว่าไม่ใช่มือโปรที่เล็งเป้าหมายแบบเจาะจงแต่ก็ไม่ใช่ว่าอันตรายน้อยลงนะครับ ดังนั้นแนะนำให้ผู้ใช้งานตั้งค่า S3 ให้เหมาะสมกันด้วย

ที่มา :  https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/ และ  https://www.bleepingcomputer.com/news/security/over-17-000-domains-infected-with-code-that-steals-card-data/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ