Una
nueva investigación
indica que el grupo de delincuentes informáticos Lazarus, asociado al Estado de Corea del Norte, ha estado robando
información de tarjetas de pago de clientes de grandes minoristas en los
Estados Unidos y Europa durante al menos un año.
Robar información de tarjetas de crédito de clientes de tiendas en línea se ha convertido en una amenaza creciente en los últimos años. Estos se conocen como ataques de MageCart y los actores de amenazas confían en scripts maliciosos (skimmers web) que copian la información confidencial de la página de pago.
Red de exfiltración
Mientras investigaban los robos de tarjetas de pago, los investigadores de
la compañía de seguridad web
Sansec descubrieron
que los skimmers se cargaban desde dominios que servían malware en
ataques exitosos de spear-phishing atribuidos a la actividad de
delincuentes informáticos de Corea del Norte (RPDC), el grupo Lazarus en
particular.
Este intercambio de la infraestructura junto con características de identificación únicas en el código ayudó a conectar los puntos y marcar los ataques de robo de tarjetas a Corea del Norte.
Las víctimas incluyen el gigante de accesorios Claire, Wongs Jewellers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armor, Microbattery y Realchems. Sin embargo, la lista es mucho más grande e incluye docenas de tiendas.
Para cubrir sus huellas, los atacantes comprometieron sitios web de negocios legítimos para volcar la información de la tarjeta robada. Según los hallazgos de Sansec, el actor secuestró sitios pertenecientes a una agencia de modelos italiana (Lux Model Agency), una librería en Nueva Jersey, una tienda de música vintage de Teherán.
Este intercambio de la infraestructura junto con características de identificación únicas en el código ayudó a conectar los puntos y marcar los ataques de robo de tarjetas a Corea del Norte.
Las víctimas incluyen el gigante de accesorios Claire, Wongs Jewellers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armor, Microbattery y Realchems. Sin embargo, la lista es mucho más grande e incluye docenas de tiendas.
Para cubrir sus huellas, los atacantes comprometieron sitios web de negocios legítimos para volcar la información de la tarjeta robada. Según los hallazgos de Sansec, el actor secuestró sitios pertenecientes a una agencia de modelos italiana (Lux Model Agency), una librería en Nueva Jersey, una tienda de música vintage de Teherán.
Registrar nombres de dominio similares a los de las tiendas de víctimas
es otra táctica que parece dar frutos para Hidden Cobra. La imagen a
continuación muestra los nodos de exfiltración (rojo) que los piratas
informáticos de la RPDC utilizaron para recopilar información de la
tarjeta de pago de las víctimas (verde).
Conectando los puntos
Los dominios de exfiltración han sido vinculados a los ataques
cibernéticos de la RPDC por parte de múltiples compañías de
ciberseguridad. Sirvieron a la distribución de malware después de las
campañas de phishing que ocurrieron poco antes o después de los
incidentes de descremado web:
Durante los siguientes meses, el mismo script malicioso infectó a varias docenas de tiendas para robar tarjetas. En otra campaña entre febrero y marzo de 2020, el grupo delictivo registró dominios que pueden confundirse fácilmente con los de Claire, Focus Camera y PaperSource. Más tarde, Sansec descubrió que los sitios de las tres marcas se habían visto comprometidos con malware de eliminación de pagos y los dominios falsos cargaron el script y recopilaron los datos recolectados.
Los investigadores admiten que existe la posibilidad de que estos ataques puedan ser el trabajo de otros actores, no relacionados con la RPDC, pero la posibilidad de control simultáneo sobre el mismo conjunto de sitios web secuestrados es poco probable. Una razón es que estos atacantes generalmente reclaman a la víctima para sí mismos y cierran la puerta a otros actores parcheando la vulnerabilidad que les dio acceso inicial.
Sansec cree que la RPDC ha llevado a cabo actividades de skimming digital a gran escala desde al menos mayo de 2019, como un medio alternativo para ganar dinero.
- technokain[.]com (spearphishing operations 1, 2)
- darvishkhan[.]net (malspam 1, 2)
- areac-agr[.]com (download server for Dacls RAT)
- papers0urce.com (IP shared with areac-agr[.]com, hardcoded in a Dacls sample)
Durante los siguientes meses, el mismo script malicioso infectó a varias docenas de tiendas para robar tarjetas. En otra campaña entre febrero y marzo de 2020, el grupo delictivo registró dominios que pueden confundirse fácilmente con los de Claire, Focus Camera y PaperSource. Más tarde, Sansec descubrió que los sitios de las tres marcas se habían visto comprometidos con malware de eliminación de pagos y los dominios falsos cargaron el script y recopilaron los datos recolectados.
Los investigadores admiten que existe la posibilidad de que estos ataques puedan ser el trabajo de otros actores, no relacionados con la RPDC, pero la posibilidad de control simultáneo sobre el mismo conjunto de sitios web secuestrados es poco probable. Una razón es que estos atacantes generalmente reclaman a la víctima para sí mismos y cierran la puerta a otros actores parcheando la vulnerabilidad que les dio acceso inicial.
Sansec cree que la RPDC ha llevado a cabo actividades de skimming digital a gran escala desde al menos mayo de 2019, como un medio alternativo para ganar dinero.
Fuente:
BC
