El grupo APT HIDDEN COBRA estaría detrás de los ataques a grandes retailers
- Endpoint
Los atacantes lograron tener acceso al código de la tienda de grandes minoristas como la cadena de moda Claire's. Todavía se desconoce cómo HIDDEN COBRA obtuvo acceso, pero los atacantes a menudo usan ataques de spearphishing para hacerse con las contraseñas del personal.
|
Recomendados: Informe mundial de la banca minorista 2020 Webinar ondemand Plataformas de aplicaciones low-code: redefiniendo la transformación digital Webinar ondemand |
Hackers patrocinados por el estado de Corea del Norte están implicados en la intercepción de pagos online de compradores estadounidenses y europeos, según muestra una investigación de Sansec. Se descubrió que atacantes asociados con el grupo APT Lazarus / HIDDEN COBRA irrumpieron en las tiendas online de grandes retailers estadounidenses y descargaron skimmers de pago desde mayo de 2019.
Anteriormente, la actividad hackeo de Corea del Norte estaba mayormente restringida a bancos y criptomercados de Corea del Sur, operaciones cibernéticas encubiertas con las que ganaron 2.000 millones de dólares, según un informe de las Naciones Unidas de 2019. Pues bien, según la nueva investigación de Sansec, ahora han ampliado su cartera con ataques de web skimming. Los investigadores han atribuido la actividad a HIDDEN COBRA porque se reutilizó la infraestructura de operaciones anteriores. Además, se identificaron patrones distintivos en el código de malware que vinculaban múltiples ataques al mismo actor.
El web skimming, también conocido como Magecart, es la interceptación de los datos de las tarjetas de crédito durante las compras en la tienda online. Este tipo de fraude ha estado creciendo desde 2015 y dominado tradicionalmente por grupos de hackers de habla rusa e indonesia. Este ya no es el caso, ya que los delincuentes en la actualidad se enfrentan a la competencia de sus homólogos norcoreanos.
Para interceptar transacciones, un atacante necesita modificar el código que ejecuta una tienda online. HIDDEN COBRA logró tener acceso al código de la tienda de grandes minoristas como la cadena internacional de moda Claire’s. Todavía se desconoce cómo HIDDEN COBRA obtuvo acceso, pero los atacantes a menudo usan ataques de spearphishing para hacerse con las contraseñas del personal.
Usando el acceso no autorizado, HIDDEN COBRA inyecta su script malicioso en la página de pagos de la tienda. El skimmer espera las pulsaciones de teclas de clientes desprevenidos. Una vez que un cliente completa la transacción, los datos interceptados, como los números de la tarjeta de crédito, se envían a un servidor de recolección controlado por HIDDEN COBRA.
