Les sites Web de plusieurs détaillants aux États-Unis et en Europe ont été compromis par le skimmer de cartes de crédit Magecart à la suite d'une série de cyberattaques qui auraient été lancées par le groupe de menaces persistantes avancées (APT) parrainé par l'État nord-coréen Lazarus. Hasta ahora, la actividad de piratería de Corea del Norte se ha limitado a los bancos y mercados de criptomonedas de Corea del Sur, y las operaciones cibernéticas secretas del país han hecho que los piratas informáticos ganen 2.000 millones de dólares, según un informe publicado el année passée. par l'ONU. Tel que rapporté par Computer Weekly, Willem de Groot, chercheur chez Sansec, a découvert pour la première fois la nouvelle campagne, qui dure depuis plus de 12 mois. De Groot estime que la campagne est motivée par des raisons financières, car obtenir des devises étrangères peut être difficile pour la Corée du Nord et son gouvernement. Les détails des cartes de paiement volées achetées sur Magecart peuvent être vendus entre 5 et 30 euros sur les forums du dark web, ce qui signifie que la transaction a probablement été assez lucrative pour le groupe Lazarus.
Campagne mondiale écrémée
Selon un article du blog Sansec, le groupe Lazarus a utilisé les sites d'une agence de mannequins italienne et d'un magasin de musique vintage à Téhéran pour réaliser sa campagne mondiale de crème. Pour monétiser ses opérations de piratage, le groupe a développé un réseau mondial d'exfiltration qui utilise des sites Web compromis pour dissimuler ses activités criminelles. Le réseau est également utilisé pour canaliser les actifs volés afin qu’ils puissent être vendus sur les marchés du dark web. L'enquête de Sansec a relié les points pour les ramener au groupe Lazarus après avoir identifié de multiples liens indépendants entre les récentes activités d'écrémage et les opérations de piratage nord-coréennes précédemment documentées. La société pense que le groupe a eu recours à des attaques de phishing pour obtenir les mots de passe du personnel des sites de vente en ligne. Une fois à l'intérieur, les pirates ont injecté le script malveillant Magecart dans les pages de paiement de ces magasins où le skimmer a pu collecter les données de paiement des clients. Des pirates informatiques ont été découverts pour la première fois avoir infiltré ces sites en juin de l'année dernière et Sansec suit depuis lors la campagne avec des caractéristiques d'identification uniques et des modèles distinctifs dans le code du skimmer. Par ordinateur chaque semaine