Los piratas informáticos norcoreanos están vinculados a los ataques de desnatado web (Magecart)



Los equipos de piratas informáticos patrocinados por el estado de Corea del Norte están ingresando a las tiendas en línea para insertar códigos maliciosos que pueden robar los detalles de la tarjeta de pago de los compradores cuando visitan la página de pago y completan los formularios de pago. Los ataques a las tiendas en línea han estado ocurriendo desde mayo de 2019, dijo la firma holandesa de seguridad cibernética SanSec en un informe publicado hoy. La víctima de más alto perfil en esta serie de hacks es la cadena de tiendas de accesorios Claire's, que fue violada en abril y junio de este año.
Estos tipos de ataques se denominan "web skimming", "e-skimming" o "Magecart attack", y el apellido proviene del nombre del primer grupo que participó en tales tácticas. Los ataques de descremado web son de naturaleza simple, aunque requieren habilidades técnicas avanzadas de los hackers para ejecutarse. El objetivo es que los piratas informáticos obtengan acceso al servidor de back-end de una tienda web, recursos asociados o widgets de terceros, donde pueden instalar y ejecutar código malicioso en la interfaz de la tienda.
El código se carga solo en la página de pago y registra silenciosamente los detalles de la tarjeta de pago a medida que se ingresan en los formularios de pago. Luego, estos datos se extraen a un servidor remoto, desde donde los piratas informáticos los recopilan y los venden en mercados clandestinos de ciberdelincuencia. Los ataques de descremado web generalmente requieren que los hackers operen una gran infraestructura para alojar el código malicioso o ejecutar puntos de recolección.
El informe de SanSec vincula los dominios y las direcciones IP de los servidores utilizados en los recientes ataques de descremado web con la infraestructura de piratería patrocinada por el estado de Corea del Norte. El fundador de SanSec, Willem de Groot, dijo que la evidencia apunta a Hidden Cobra (o Grupo Lazarus), el nombre en clave dado por el Departamento de Seguridad Nacional de los Estados Unidos a los equipos de piratería de élite operados por el estado de Pyongyang. Imagen: SanSec Green = tienda pirateada Rojo = Nodos de exfiltración controlados por Cobra oculta Amarillo = técnica única que vincula los ataques y el código malicioso "Todavía se desconoce cómo HIDDEN COBRA obtuvo acceso, pero los atacantes a menudo usan ataques de spearphishing (correos electrónicos con trampas explosivas) para obtener las contraseñas del personal minorista", dijo de Groot hoy.
Los hallazgos de SanSec son parte de una imagen más amplia de las operaciones de piratería patrocinadas por el estado de Corea del Norte. Si bien muchos grupos respaldados por el gobierno solo participan en actividades de ciberespionaje, Corea del Norte, debido a las sanciones que están paralizando su economía, también utiliza piratas informáticos estatales para recaudar fondos para su gobierno. Los piratas informáticos de Pyongyang se han relacionado con robos cibernéticos en bancos de todo el mundo, han estado involucrados en robos y retiros de cajeros automáticos, han organizado estafas de criptomonedas y han violado los intercambios de criptomonedas.
También se sabe que compran regularmente malware de productos básicos en el mercado clandestino de ciberdelincuencia, y recientemente han sido vistos planeando campañas de phishing COVID-19. Los piratas informáticos norcoreanos también han sido acusados ​​de crear el infame ransomware WannaCry, que puso de rodillas a una gran parte del mundo de TI en mayo de 2017. Las autoridades y expertos dijeron que WannaCry fue un intento fallido de crear una cepa de ransomware para extorsionar a las víctimas por dinero para recaudar fondos para el régimen de Pyongyang.
Como resultado de las descaradas campañas de piratería de Corea del Norte, en septiembre de 2019, el Departamento del Tesoro de los EE. UU. Impuso sanciones a las entidades comerciales que creía que estaban asociadas con tres grupos de piratería, y que los funcionarios estadounidenses afirmaron que eran compañías de fachada utilizadas para recaudar fondos para las armas y misiles de Corea del Norte programas El hecho de que los piratas informáticos norcoreanos hayan estado involucrados en incidentes de descremado web no es una sorpresa para los expertos de la industria, ya que históricamente han gravitado hacia cualquier tipo de delito cibernético que pueda generar ganancias. pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı