Специалисты голландской ИБ-компании SanSec ­обнаружили, что северокорейская хак-группа Lazarus (она же Hidden cobra) практикует веб-скимминг и взламывает интернет-магазины.­ Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносный код) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то к концу 2019 года, по данным IBM, их насчитывалось уже около 40. В ходе подобных атак хакеры обычно получают доступ к серверу интернет-магазина, каким-либо связанным ресурсам или сторонним виджетам, и получают возможность загружать и запускать вредоносный код. Обычно веб-скиммер загружается только на странице оформления заказа и автоматически похищает данные платежной карты, когда пользователь вводит их при оформлении заказа. Эти данные отправляются на удаленный сервер злоумышленников, и хакеры собирают их, используют сами или и продают в даркнете. Массовые атаки на интернет-магазины продолжаются примерно с середины 2018 года. Среди наиболее значительных жертв взломщиков за последнее время: компании Wongs Jewellers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armour, Microbattery, Realchems и Claire's. Свежий отчет SanSec связывает конкретные домены и IP-адреса, использованные для недавних MageCart-атак на американские магазины, с ранее известной хакерской инфраструктурой «правительственных» хакеров. Так, основатель SanSec Виллем де Грот (Willem de Groot) пишет, что собранные доказательства указывают на то, что за рядом атак на американские магазины стояла известная северокорейская хак-группа на Lazarus. «Как же Hidden cobra получила доступ (к скомпрометированным магазинам), пока неизвестно, но злоумышленники часто используют фишинговые атаки (вредоносные электронные письма) для получения паролей сотрудников из сферы розничной торговли», — пишет эксперт. Зеленый — взломанный магазин. Красный — подконтрольные Lazarus узлы извлечения данных. Желтый — уникальные техники, связывающие атаки и вредоносный код.