6 jul 2020

Magecart: grupo norcoreano Lazarus roba tarjetas de crédito de tiendas estadounidenses

Una nueva investigación indica que el grupo de delincuentes informáticos Lazarus, asociado al Estado de Corea del Norte, ha estado robando información de tarjetas de pago de clientes de grandes minoristas en los Estados Unidos y Europa durante al menos un año.

La actividad fraudulenta, que los investigadores atribuyen al grupo de atacantes Lazarus (Hidden Cobra), utilizó sitios web legítimos para filtrar los datos robados de la tarjeta de crédito y camuflar la operación.

Robar información de tarjetas de crédito de clientes de tiendas en línea se ha convertido en una amenaza creciente en los últimos años. Estos se conocen como ataques de MageCart y los actores de amenazas confían en scripts maliciosos (skimmers web) que copian la información confidencial de la página de pago.

Red de exfiltración

Mientras investigaban los robos de tarjetas de pago, los investigadores de la compañía de seguridad web Sansec descubrieron que los skimmers se cargaban desde dominios que servían malware en ataques exitosos de spear-phishing atribuidos a la actividad de delincuentes informáticos de Corea del Norte (RPDC), el grupo Lazarus en particular.

Este intercambio de la infraestructura junto con características de identificación únicas en el código ayudó a conectar los puntos y marcar los ataques de robo de tarjetas a Corea del Norte.

Las víctimas incluyen el gigante de accesorios Claire, Wongs Jewellers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armor, Microbattery y Realchems. Sin embargo, la lista es mucho más grande e incluye docenas de tiendas.

Para cubrir sus huellas, los atacantes comprometieron sitios web de negocios legítimos para volcar la información de la tarjeta robada. Según los hallazgos de Sansec, el actor secuestró sitios pertenecientes a una agencia de modelos italiana (Lux Model Agency), una librería en Nueva Jersey, una tienda de música vintage de Teherán.

Registrar nombres de dominio similares a los de las tiendas de víctimas es otra táctica que parece dar frutos para Hidden Cobra. La imagen a continuación muestra los nodos de exfiltración (rojo) que los piratas informáticos de la RPDC utilizaron para recopilar información de la tarjeta de pago de las víctimas (verde).

Conectando los puntos

Los dominios de exfiltración han sido vinculados a los ataques cibernéticos de la RPDC por parte de múltiples compañías de ciberseguridad. Sirvieron a la distribución de malware después de las campañas de phishing que ocurrieron poco antes o después de los incidentes de descremado web:
En una campaña descubierta el 23 de junio de 2019, un skimmer en una tienda de EE.UU. para repuestos de camiones tenía una cadena codificada de doble base64 para "clientToken". La codificación específica y el intento de disfrazar la carga útil robada como "clientToken" forman una característica de identificación única, señala el informe.

Durante los siguientes meses, el mismo script malicioso infectó a varias docenas de tiendas para robar tarjetas. En otra campaña entre febrero y marzo de 2020, el grupo delictivo registró dominios que pueden confundirse fácilmente con los de Claire, Focus Camera y PaperSource. Más tarde, Sansec descubrió que los sitios de las tres marcas se habían visto comprometidos con malware de eliminación de pagos y los dominios falsos cargaron el script y recopilaron los datos recolectados.

Los investigadores admiten que existe la posibilidad de que estos ataques puedan ser el trabajo de otros actores, no relacionados con la RPDC, pero la posibilidad de control simultáneo sobre el mismo conjunto de sitios web secuestrados es poco probable. Una razón es que estos atacantes generalmente reclaman a la víctima para sí mismos y cierran la puerta a otros actores parcheando la vulnerabilidad que les dio acceso inicial.

Sansec cree que la RPDC ha llevado a cabo actividades de skimming digital a gran escala desde al menos mayo de 2019, como un medio alternativo para ganar dinero.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!