Группировка Lazarus заподозрена в краже данных платежных карт покупателей в США и Европе
Специалисты компании Sansec сообщили о масштабной вредоносной кампании по краже данных платежных карт клиентов крупных ретейлеров в США и Европе. В ходе мошеннических действий, в осуществлении которых исследователи подозревают группировку Lazarus (также известной как Hidden Cobra), преступники использовали легитимные web-сайты для кражи данных кредитных карт и маскировки своих операций.
По словам экспертов, web-скиммеры были загружены с доменов, которые использовались преступниками в ходе успешных фишинговых атак. Список жертв злоумышленников насчитывает десятки магазинов, включая такие крупные компании, как Claire’s, Wongs Jewellers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armour, Microbattery и Realchems.
С целью скрыть свои следы преступники взламывают сайты легитимных предприятий, чтобы загрузить на них похищенную информацию. Злоумышленники взломали сайты итальянского модельного агентства Lux Model Agency, книжного магазина в Нью-Джерси и магазина старинной музыки в Тегеране.
Другой тактикой Lazarus оказалась регистрация доменных имен, похожих на названия настоящих магазинов.
В июне 2019 года специалисты Sansec обнаружили скиммер на сайте американского магазина запчастей для грузовиков, который использовалт взломанный сайт итальянского модельного агентства для сбора данных о платежах. Внедренный скрипт customize-gtag.min.js был зашифрован с помощью обфускатора, написанного на Javascript. В коде была скрыта строка WTJ4cFpXNTBWRzlyWlc0OQ ==, использующаяся в качестве параметра HTTP GET для отправки похищенной полезной нагрузки на взломанный сайт.
Вредоносная программа была удалена в течение 24 часов после загрузки, но через неделю вредоносное ПО вновь появилось на странице сайта того же магазина. На этот раз оно использовало книжный магазин в Нью-Джерси для хищения данных кредитных карт.
В феврале и марте 2020 года было зарегистрировано несколько доменных имен, похожих на популярные потребительские бренды (PAPERS0URCE.COM, FOCUSCAMERE.COM и CLAIRES-ASSETS.COM). Впоследствии эксперты выяснили, что интернет-магазины трех соответствующих брендов были скомпрометированы и заражены вредоносным ПО для сбора информации о платежах.
Во всех трех случаях была использована одна и та же инфраструктура, а также определенный фрагмент кода, который эксперты нигде не встречали ранее.
Исследователи признают, что данные атаки могут быть делом рук других преступников, но вероятность одновременного контроля над одними и теми же взломанными web-сайтами маловероятна. Одна из причин состоит в том, что злоумышленники обычно используют жертву в личных целях и предотвращают доступ другим преступникам к проэксплуатированным уязвимостям.