Investigadores de seguridad han hallado estrechos lazos entre un grupo de skimming digital, las campañas de phishing de Dridex y el famoso malware de Carbanak.
Los expertos de Malwarebytes Jérôme Segura, William Tsing y Adam Thomas, examinaron los datos de WHOIS antes de que GDPR entrara en vigor para descubrir a los que están detrás del Grupo 5 de Magecart, revelaron en una nueva entrada del blog.
A diferencia de muchos otros que utilizan el famoso código de skimming, el grupo suele atacar a las organizaciones de la cadena de suministro con la esperanza de infectar a muchos más sitios web y a sus clientes.
Aunque por lo general registra dominios para apoyar su actividad utilizando servicios de protección de la privacidad, el grupo parece haber cometido un error al registrar informaer.info con el hoster chino antibalas BIZCN/CNOBIN.
La excavación de los investigadores reveló el nombre “Guo Tang”, una dirección y un número de teléfono con sede en Pekín, y una dirección de correo electrónico de Yahoo.com.
Este último ha sido utilizado para registrar múltiples dominios utilizados en campañas de phishing diseñadas para entregar el famoso troyano bancario Dridex, incluyendo un ataque efax a usuarios alemanes, y otros que falsifican las marcas OnePosting y Xero, reveló Malwarebytes.
También citaron una investigación del CERT suizo que afirmaba que Dridex ha sido utilizado en el pasado para entregar el malware de robo de información de Carbanak.
El número de teléfono de la información de registro del Grupo 5 de Magecart también ha sido vinculado al grupo Carbanak, una operación de ciberdelincuencia que se cree que ha robado cientos de millones de dólares de bancos de todo el mundo.
“La victimología nos ayuda a tener una mejor idea del actor de la amenaza detrás de los ataques. Por ejemplo, vemos muchos compromisos que afectan a un pequeño subconjunto de comerciantes que probablemente están vinculados a criminales menos sofisticados, a menudo utilizando un simple skimmer o un kit”, concluyó Malwarebytes.
“En contraste, creemos que las mayores brechas que se acumulan en un premio mucho mayor son conducidas por grupos de amenaza avanzados con experiencia previa en el campo y con lazos bien establecidos dentro de la clandestinidad criminal”.
Con información de: Info Security Magazine.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian