Hackers norte-coreanos são vinculados a ataques de roubo de cartão de crédito

Hackers violaram a agência de armas nucleares dos EUA
hacker

Segundo uma nova pesquisa, hackers norte-coreanos do grupo Lazarus (Hidden Cobra) roubam informações de cartão de crédito de clientes de grandes varejistas nos EUA e na Europa há pelo menos um ano. A atividade fraudulenta usou sites legítimos para roubar os dados de cartão de crédito.

O roubo de informações de cartão de crédito de clientes de lojas on-line tornou-se uma ameaça crescente nos últimos anos. Os hackers dependem de scripts maliciosos (skimmers) que copiam as informações confidenciais.

A empresa de segurança Sansec acredita que a Coreia do Norte realiza atividades de escaneamento digital em larga escala desde pelo menos maio de 2019, como um meio alternativo de ganhar dinheiro.

Hackers norte-coreanos são vinculados a ataques de roubo de cartão de crédito

Enquanto investigavam os roubos, os pesquisadores da Sansec descobriram que os skimmers eram carregados de domínios que serviam malwares em ataques atribuídos à atividade de hackers norte-coreanos do grupo Lazarus. Esse compartilhamento da infraestrutura, juntamente com características únicas de identificação no código, ajudou a conectar os ataques à Coreia do Norte.

Para encobrir seus rastros, os hackers comprometeram sites de empresas legítimas para despejar as informações roubadas. Segundo as descobertas, os hackers sequestraram sites pertencentes a uma agência de modelos italiana, uma livraria em Nova Jersey e uma loja de música vintage de Teerã.

Além disso, registrar nomes de domínio semelhantes aos das lojas de vítimas é outra tática que parece dar frutos ao Hidden Cobra. Por exemplo, a imagem abaixo mostra os nós (vermelhos) que os hackers usaram para coletar informações sobre cartões de pagamento das vítimas (verde):

Hackers norte-coreanos são vinculados a ataques de roubo de cartão de crédito
Imagem: Sansec.

A Sansec diz que, além do registrador de domínio e do serviço DNS, esses incidentes também compartilham um trecho de código particularmente estranho não visto em nenhum outro lugar, rastreando-os para o mesmo ator.

Por fim, os pesquisadores admitem que existe a possibilidade desses ataques serem obra de outros atores, não relacionados à Coreia do Norte. Todavia, é improvável a chance de controle simultâneo sobre o mesmo conjunto de sites sequestrados. Em suma, esses hackers geralmente reivindicam a vítima para si mesmos e fecham as portas para outros corrigindo a vulnerabilidade que lhes deu acesso inicial.

Fonte: Bleeping Computer