Как сообщают исследователи, хакеры, связанные с правительством Северной Кореи, применили технику веб-скимминга, чтобы украсть криптовалюту в кампании, которую запустили в начале прошлого года.
В ходе атак были скомпрометировали клиенты по крайней мере трех онлайн-магазинов и использовалась инфраструктура, которая ранее связывали с Lazarus APT, также известной как Hidden Cobra.
В прошлом году компания по кибербезопасности Sansec опубликовала отчет, в котором рассказала об операции Lazarus, продолжавшейся с 2019 года для перехвата данных платежных карт интернет-покупателей крупных магазинов США и Европы.
Вредоносных код на JavaScript собирал данные платежных карт, которые клиенты вводили на странице оформления заказа.
Одна из кампаний («clientToken=») началась в мае 2019 года. ID кампании и используемый JS-сниффер указывали на Lazarus, нацеленную на кражу криптовалюты.
Group-IB продолжила расследование Sansec и обнаружила, что хакеры из Северной Кореи также атаковали онлайн магазины, которые принимали оплату криптовалютой, в 2020 году.
Хакеры модифицировали вредоносный JavaScript кампании clientToken= так, чтобы он подменял Bitcoin-адрес магазина на тот, который контролировали они. Таким образом, деньги покупателей оказывались в кошельке атакующих.
