Yaakov's Group | Ciberseguridad

Piratas Informáticos Norcoreanos Vinculados a Ataques de Robo de Tarjetas de Crédito en Tiendas Estadounidenses

Comparte este post en tus redes sociales

Los piratas informáticos de Corea del Norte han estado robando información de tarjetas de pago de clientes de grandes minoristas en los Estados Unidos y Europa durante al menos un año, revela una nueva investigación publicada hoy.

La actividad fraudulenta, que los investigadores atribuyen al grupo de hackers Lazarus (Hidden Cobra), utilizó sitios web legítimos para filtrar los datos robados de la tarjeta de crédito y camuflar la operación.

Robar información de tarjetas de crédito de clientes de tiendas en línea se ha convertido en una amenaza creciente en los últimos años. Estos se conocen como ataques de MageCart y los actores de amenazas confían en scripts maliciosos (skimmers web) que copian la información confidencial de la página de pago.

Red de exfiltración

Mientras investigaban los robos de tarjetas de pago, los investigadores de la compañía de seguridad web Sansec descubrieron que los skimmers se cargaban desde dominios que servían malware en ataques exitosos de spear-phishing atribuidos a la actividad de piratas informáticos de Corea del Norte (RPDC), el grupo Lazarus en particular.

Este intercambio de la infraestructura junto con características de identificación únicas en el código ayudó a conectar los puntos y marcar los ataques de robo de tarjetas a Corea del Norte.

Las víctimas incluyen el gigante de accesorios Claire’s, Wongs Jewelers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armor, Microbattery y Realchems. Sin embargo, la lista es mucho más grande e incluye docenas de tiendas.

Para cubrir sus huellas, los atacantes comprometieron sitios web de negocios legítimos para volcar la información de la tarjeta robada. Según los hallazgos de Sansec, el actor secuestró sitios pertenecientes a una agencia de modelos italiana (Lux Model Agency), una librería en Nueva Jersey, una tienda de música vintage de Teherán.

Registrar nombres de dominio similares a los de las tiendas de víctimas es otra táctica que parece dar frutos para Hidden Cobra. La imagen a continuación muestra los nodos de exfiltración (rojo) que los piratas informáticos de la RPDC utilizaron para recopilar información de la tarjeta de pago de las víctimas (verde).

Conectando los puntos

Los dominios de exfiltración han sido vinculados a los ataques cibernéticos de la RPDC por parte de múltiples compañías de ciberseguridad. Sirvieron a la distribución de malware después de las campañas de phishing que ocurrieron poco antes o después de los incidentes de robo en la web:

technokain.com (operaciones de pesca submarina 1, 2)
darvishkhan.net (malspam 1, 2)
areac-agr.com (servidor de descarga para Dacls RAT)
papers0urce.com (IP compartida con areac-agr.com, codificada en una muestra de Dacls)
En una campaña descubierta el 23 de junio de 2019, un skimmer en una tienda de EE. UU. Para repuestos de camiones tenía una cadena codificada de doble base64 para «token-cliente =»

«La codificación específica y el intento de disfrazar la carga útil robada como» clientToken «forman una característica de identificación única», señala Sansec en su informe.

Inicialmente, el nodo de exfiltración era el sitio web de Lux Model Agency, pero el malware desapareció en 24 horas y volvió a aparecer en la misma tienda después de una semana. Esta vez, sin embargo, los datos fueron a una librería de Nueva Jersey.

Durante los siguientes meses, el mismo script malicioso infectó a varias docenas de tiendas utilizando los siguientes sitios secuestrados para cargarlo y cosechar las tarjetas robadas:

stefanoturco.com (entre 2019-07-19 y 2019-08-10)
technokain.com (entre 2019-07-06 y 2019-07-09)
darvishkhan.net (entre 2019-05-30 y 2019-11-26)
areac-agr.com (entre 2019-05-30 y 2020-05-01)
luxmodelagency.com (entre 2019-06-23 y 2020-04-07)
ignedbooksandcollectibles.com (entre 2019-07-01 y 2020-05-24)
En otra campaña entre febrero y marzo de 2020, los piratas informáticos registraron dominios que pueden confundirse fácilmente con los de Claire, Focus Camera y PaperSource.

Más tarde, Sansec descubrió que los sitios de las tres marcas se habían visto comprometidos con malware de eliminación de pagos y los dominios falsos cargaron el script y recopilaron los datos recolectados.

Sansec dice que además del registrador de dominios y el servicio DNS, estos incidentes también comparten un «fragmento de código particularmente extraño» que no se ve en ningún otro lugar, y los rastrea al mismo actor.

Los investigadores admiten que existe la posibilidad de que estos ataques puedan ser el trabajo de otros actores, no relacionados con la RPDC, pero la posibilidad de control simultáneo sobre el mismo conjunto de sitios web secuestrados es poco probable; Una razón es que estos atacantes generalmente reclaman a la víctima por sí mismos y cierran la puerta a otros actores parcheando la vulnerabilidad que les dio acceso inicial.

Sansec cree que la RPDC ha llevado a cabo actividades de descremado digital a gran escala desde al menos mayo de 2019, como un medio alternativo para ganar dinero.

Fuente: Bleeping Computuer

Deja un comentario