fbpx

Des pirates nord-coréens ciblent des magasins en ligne pour faire du vol de données bancaires

Par

le

Une nouvelle étude révèle que des pirates nord-coréens ciblent des magasins en ligne dans le but de récupérer les données bancaires des clients.

Des pirates informatiques associés au célèbre groupe nord-coréen Lazarus s’attaquent aux magasins en ligne pour voler les données bancaires des clients lorsqu’ils visitent la page de paiement. Les attaques, appelées « web skimming », « e-skimming » ou « Magecart attack », se poursuivent depuis mai 2019 et ont touché de grands détaillants tels que la chaîne de mode internationale Claire’s.

Les attaques ont été signalées par la firme néerlandaise de cybersécurité SanSec. Elle écrit que la technique d’e-skimming se développe depuis 2015, et alors qu’elle était traditionnellement utilisée par des groupes de hackers russophones et indonésiens, les criminels nord-coréens parrainés par le gouvernement interceptent désormais les données bancaires des magasins en ligne.

Les attaques impliquent l’accès au serveur principal d’une boutique en ligne, souvent obtenu en utilisant des e-mails piégés (spearphishing) envoyés aux employés pour obtenir leurs mots de passe. Les hackers ont infiltré le site du magasin d’accessoires Claire’s en avril et juin.

Une fois qu’un site est compromis, le script malveillant se charge sur la page de paiement, volant les détails de la carte de crédit lors de leur saisie dans les formulaires. Une fois la transaction terminée, les données interceptées sont envoyées à un serveur de collecte contrôlé par le groupe de piratage et vendues sur le dark web.


Vert = magasin piraté, Rouge = Noeuds d’exfiltration contrôlés par Hidden Cobra, Jaune = Technique unique reliant les attaques et le code malveillant

Le groupe a développé un réseau mondial d’exfiltration pour monétiser les opérations de skimming. Cela impliquait le détournement et la réaffectation de sites légitimes pour servir de couverture à l’activité criminelle et canaliser les biens volés. Une agence de mannequins de Milan, un magasin de musique vintage de Téhéran et une librairie familiale du New Jersey faisaient tous partie du réseau.

Les chercheurs de Sansec ont trouvé des liens entre l’activité de skimming et les opérations de piratage nord-coréennes précédentes. Les preuves indiquent Hidden Cobra, alias le groupe Lazarus, qui était à l’origine du piratage de Sony Pictures en 2014, le vol d’une banque bangladaise en 2016, et serait largement responsable du malware WannaCry.


Articles recommandés