Исследователи полагают, что спонсируемые северокорейским государством субъекты угроз начали нацеливаться на сайты электронной коммерции, чтобы снять или перехватить данные кредитных карт покупателей.
Поставщик безопасности Sansec заявил, что обнаружил связи между недавними операциями скимминга и ранее задокументированными северокорейскими СКРЫТЫМИ хакерскими атаками COBRA, которые правительство Соединенных Штатов отслеживало и предупреждало о них в течение последних нескольких лет.
Атаки нацелены на уязвимые установки Adobe Magento e-commerce shopping cart, добавляя вредоносные скрипты на страницы оформления заказов магазинов, которые фиксируют нажатия клавиш клиентов при вводе данных кредитной карты.
Sansec сказал, что СКРЫТЫЕ атаки COBRA skimming использовали итальянское модельное агентство и винтажный музыкальный магазин в Тегеране, Иран, и книжный магазин в Нью-Джерси, США, и захватили их законные сайты для преступной деятельности.
Вредоносные скрипты запутаны, но расшифровка кода и поиск ссылок на более ранние северокорейские хакерские кампании заставили Sansec поверить, что скимминговые атаки были сделаны СКРЫТОЙ группой COBRA.
Sansec обнаружила несколько распространенных вредоносных доменов с захваченными сайтами, что позволило предположить, что HIDDEN COBRA сейчас активно выходит за рамки кражи криптовалют и атак на банки.
Sansec считает, что северокорейцы занимаются тем, что поставщик безопасности называет крупномасштабной деятельностью по цифровому скиммингу, по крайней мере с мая прошлого года, присоединяясь к российским и индонезийским хакерам в их грабительских кампаниях.