Hackers da Coreia do Norte estão atacando lojas on-line para roubar dados de pagamento, diz empresa

A compra ainda ocorre na página oficial, sem sofrer qualquer interferência, mas os dados estarão na mão de criminosos.

Criminosos modificam páginas de pagamentos para capturar informações digitais por clientes de lojas on-line. — Foto: Alfred Muller/Pixabay

Grupo é notório pelo interesse em ganho financeiro. Ações foram associadas a atividades mapeadas por outros especialistas.

A empresa de segurança Sansec identificou diversos elos entre os ataques que desviam dados de cartões de crédito no processo de pagamento em lojas on-line, que são monitorados pela companhia, e operações que outros especialistas atribuíram a hackers norte-coreanos.

A fraude nas lojas, conhecida como "web skimming" ou "javascript skimming", é realizada com a adulteração da página de pagamentos de lojas on-line. Quando modificada, a página passa a capturar os dados do consumidor e enviá-los a outro site que pertence aos criminosos.

A compra ainda ocorre na página oficial, sem sofrer qualquer interferência, mas os dados estarão na mão de criminosos.

O golpe também é conhecido pelo nome de "Magecart", em alusão ao próprio código responsável por extraviar a informação, e possivelmente ao software de e-commece Magento, que é frequentemente atacado nessas fraudes. Segundo especialistas, vários grupos de hackers distintos estariam envolvidos na atividade criminosa.

A Sansec diz que encontra de 30 a 100 lojas infectadas com esse código por dia. Só uma parcela desses ataques seria de responsabilidade dos hackers norte-coreanos.

O elo foi estabelecido com base nos endereços web usados para abrigar as ferramentas de ataque e dados roubados da operação criminosa. Alguns desses endereços são os mesmos que já foram atribuídos a operações de um grupo de hackers conhecido como Lazarus ou "Hidden Cobra".

O Lazarus é conhecido por atacar o sistema bancário no mundo todo, além de realizar fraudes com criptomoedas e espionar alvos sul-coreanos. Especialistas consideram que o grupo seja patrocinado pelo governo norte-coreano e tenha a finalidade de obter recursos para o regime.

Segundo a Sansec, os hackers norte-coreanos podem ter começado a utilizar a técnica em maio de 2019.

Isso significa que os norte-coreanos não estavam envolvidos nas primeiras fraudes desse tipo, que começaram em 2017 e se intensificaram em 2018 com a adulteração de sites como o da fabricante de celulares OnePlus e da companhia aérea British Airways. A consultoria Gemini Advisory informou que um grupo conhecido como Keeper, que atua com ataques de Magecart desde 2017, já adulterou pelo menos 570 lojas.

Elo de infraestrutura

O rastreamento de ataques cibernéticos raramente é uma ciência exata. Especialistas procuram indícios em arquivos para determinar o horário de atividade dos invasores e a configuração do sistema usado, mas esses detalhes podem ser forjados para criar uma operação de "bandeira falsa", em que um país tenta incriminar outro.

Por essa razão, especialistas procuram associar a infraestrutura das ações. Quando um grupo de hackers realiza uma invasão mais simples de ser atribuída – pelos detalhes técnicos nos arquivos ou pelas características do alvo -, outros ataques que utilizam a mesma infraestrutura digital podem ser mapeados e relacionados.

Esse foi o caminho usado pela Sansec. A empresa descobriu que ações contra certas lojas usaram as mesmas infraestruturas de ataque expostas em relatórios das empresas de segurança Rewterz, EST Security, Fortinet e Netlab360. Cada uma dessas empresas detalhou ataques diferentes, mas todas apontaram semelhanças técnicas com ações anteriormente atribuídas ao Lazarus.

Grupo tentou desviar US$ 1 bilhão e criou o WannaCry

Hackers patrocinados por governos normalmente têm interesses políticos e, por isso, focam em espionagem. O Lazarus, da Coreia do Norte, é conhecido por seu interesse financeiro, semelhante a gangues criminosas comuns.

O governo dos Estados Unidos, que se refere ao grupo pelo nome de "Hidden Cobra", alertou que esses invasores realizaram saques em pelo menos 30 países depois de conseguirem acesso a sistemas responsáveis por intermediar a comunicação entre os caixas eletrônicos e o banco, dispensando a verificação de saldo. Com isso, o golpe "FASTcash" causou um prejuízo de milhões de dólares com saques de contas falsas praticamente zeradas.

Em 2016, o grupo teria sido o responsável por uma tentativa de desviar US$ 1 bilhão de uma conta mantida pelo Banco Central de Bangladesh no Federal Reserve em Nova York. A movimentação aconteceria em 35 transferências, mas ao menos 30 delas foram bloqueadas após um erro de digitação levantar suspeitas nos operadores em Nova York e no Deutsche Bank, que atuava como intermediário.

Mesmo assim, os invasores conseguiram transferir US$ 81 milhões a um banco nas Filipinas, onde o montante foi sacado antes da conta ser congelada.

O Departamento de Justiça dos Estados Unidos, por meio do FBI, acusou o programador norte-coreano Park Jin Hyok de envolvimento no roubo. O mesmo programador, segundo a autoridade policial americana, teria sido responsável pelo vírus de resgate WannaCry.

https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2020/07/10/hackers-da-coreia-do-norte-estao-atacando-lojas-on-line-para-roubar-dados-de-pagamento-diz-empresa.ghtml