Magecart駭客集團新手法，專找配置錯誤的Amazon S3儲存貯體植入惡意程式

資安業者RiskIQ本周指出，Magecart駭客集團最近鎖定了配置錯誤的Amazon S3儲存貯體來散布Skimmer程式碼，估計已有超過1.7萬個網域遭到危害，當中還包含Alexa流量排行榜上前2,000名的網站。

Magecart為駭客集團所使用的惡意軟體，專門在電子商務網站上注入Skimmer惡意程式碼以竊取使用者的付款資訊，其手法又被稱為網頁側錄（Web Skimming）。

過去採用Magecart的駭客集團多半是先入侵電子商務網站的程式碼供應商，在供應商所提供的程式碼中注入Skimmer，一次捕獲使用相關服務的數千家電子商務網站，現在RiskIQ揭露的則是Magecart駭客集團的新招術：掃描配置錯誤的Amazon S3儲存貯體以植入Skimmer。

其實Amazon S3儲存貯體的預設值是私有且受保護的，但若網管人員配置失誤即可能允許任何擁有AWS帳號的用戶存取或寫入內容。RiskIQ自今年4月初，便陸續發現受到Skimmer感染的Amazon S3儲存貯體。

當駭客發現配置錯誤的儲存貯體時，就會掃描儲存貯體中的任何JavaScript檔案，繼之下載這些檔案，添加Skimmer，再把它存回儲存貯體，且上述程序都是自動化的。

其實Skimmer必須要剛好出現在付款頁面上，才能幫助駭客取得使用者的付款資訊，掃描並置換儲存貯體上的所有JavaScript檔案並無法確保此事，但只要有少數的例子達陣便值回票價。

RiskIQ建議網管人員若要變更Amazon S3儲存貯體的存取預設值，應該更為妥善地設定存取控制，例如使用白名單、限制寫入權限，且禁止任何人對外公開儲存貯體。