El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas.
En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.
¿Cómo funciona el ataque?
Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.
"Según la estimación de un socio de confianza, los componentes de 'Hidden Cobra' han robado decenas de millones de dólares", explican en el informe.
¿Cómo llegaron los atacantes a comprometer los servidores de aplicaciones de pago?
Aunque no está confirmado, las autoridades de EE.UU. creen que los ciberdelincuentes utilizaron correos electrónicos de phishing que contendrían ejecutables maliciosos de Windows.Una vez abierto, estos servían de conexión para que los atacantes pivotaran en la red del banco utilizando las credenciales legítimas del empleado afectado y conseguir inyectar el malware en el servidor de aplicaciones de pago.
A pesar de que la mayoría de los servidores utilizaban versiones del sistema operativo AIX sin soporte, no se han encontrado pruebas de que los atacantes aprovecharan alguna vulnerabilidad sobre el mismo. El US-CERT ha recomendado a los bancos que hagan obligatoria la autenticación de dos factores cuanto antes.
Fuente: Hispasec
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!