Segundo uma nova pesquisa, hackers norte-coreanos do grupo Lazarus (Hidden Cobra) roubam informações de cartão de crédito de clientes de grandes varejistas nos EUA e na Europa há pelo menos um ano. A atividade fraudulenta usou sites legítimos para roubar os dados de cartão de crédito.
O roubo de informações de cartão de crédito de clientes de lojas on-line tornou-se uma ameaça crescente nos últimos anos. Os hackers dependem de scripts maliciosos (skimmers) que copiam as informações confidenciais.
A empresa de segurança Sansec acredita que a Coreia do Norte realiza atividades de escaneamento digital em larga escala desde pelo menos maio de 2019, como um meio alternativo de ganhar dinheiro.
Hackers norte-coreanos são vinculados a ataques de roubo de cartão de crédito
Enquanto investigavam os roubos, os pesquisadores da Sansec descobriram que os skimmers eram carregados de domínios que serviam malwares em ataques atribuídos à atividade de hackers norte-coreanos do grupo Lazarus. Esse compartilhamento da infraestrutura, juntamente com características únicas de identificação no código, ajudou a conectar os ataques à Coreia do Norte.
Para encobrir seus rastros, os hackers comprometeram sites de empresas legítimas para despejar as informações roubadas. Segundo as descobertas, os hackers sequestraram sites pertencentes a uma agência de modelos italiana, uma livraria em Nova Jersey e uma loja de música vintage de Teerã.
Além disso, registrar nomes de domínio semelhantes aos das lojas de vítimas é outra tática que parece dar frutos ao Hidden Cobra. Por exemplo, a imagem abaixo mostra os nós (vermelhos) que os hackers usaram para coletar informações sobre cartões de pagamento das vítimas (verde):
A Sansec diz que, além do registrador de domínio e do serviço DNS, esses incidentes também compartilham um trecho de código particularmente estranho não visto em nenhum outro lugar, rastreando-os para o mesmo ator.
Por fim, os pesquisadores admitem que existe a possibilidade desses ataques serem obra de outros atores, não relacionados à Coreia do Norte. Todavia, é improvável a chance de controle simultâneo sobre o mesmo conjunto de sites sequestrados. Em suma, esses hackers geralmente reivindicam a vítima para si mesmos e fecham as portas para outros corrigindo a vulnerabilidade que lhes deu acesso inicial.
Fonte: Bleeping Computer