Hidden Kobra beißt wieder zu: Kreditkarteninfos landen bei Hackern

Die Hackerbande Hidden Kobra soll seit einem Jahr, Kreditkarteninfos von US-amerikanischen, aber auch europäischen Kunden abgefangen haben.

Hidden Kobra
Bildquelle: alesnesetril, thx!

Die vom nordkoreanischen Regime geförderte Hackergruppe Hidden Kobra hat Online-Zahlungen von amerikanischen und europäischen Käufern abgefangen, um an Kreditkarteninfos zu gelangen. Die Cyberkriminellen griffen dabei auf  „digital skimming“ zurück, wie die Security-Experten von Sansec schreiben.

Spur führt zu Hidden Kobra

Sicherheitsexperten entdeckten, dass die Gruppe Hidden Kobra seit mindestens einem Jahr  „digital skimmer“ auf Kassenseiten platziert. Dabei handelt es sich um schädlichen Code, den Hacker auf Seiten einschleusen, um an Zahlungsdaten zu gelangen. Laut Sansec dominiert diese Art des Betrugs seit 2015 vorrangig unter russisch- und indonesischsprachigen Hackergruppen. Forscher von Sansec schreiben diese Aktivität allerdings diesmal Hidden Kobra zu, denn sie verwendeten „die Infrastruktur aus früheren Operationen“. Darüber hinaus identifizierten sie gleiche oder ähnliche Muster im Malware-Code.

Modekette Claire’s unter den Opfern

„Um Transaktionen abzufangen, muss ein Angreifer den Computercode ändern, der einen Online-Shop betreibt. Hidden Cobra gelang es, Zugriff auf den Ladencode großer Einzelhändler wie der internationalen Modekette Claire’s zu erhalten“, schreiben die IT Security-Forscher. Unklar sei bis jetzt allerdings, wie die Hackerbande überhaupt Zugang erhielt.  „Die Angreifer verwenden häufig Spearphishing-Angriffe, um an die Passwörter des Einzelhandelspersonals zu gelangen“, so Sansec.


Nach dem Zugriff platzierte Hidden Kobra das schädliche Skript in die Kassenseite der jeweiligen Geschäfte. Der Skimmer wartet auf die Eingabe von ahnungslosen Kunden. Sobald ein Kunde die Transaktion abschließt, fängt er die Daten wie etwa Kreditkartennummern ab.

hidden cobra north corea

Andere Websites für Machenschaften eingespannt

Hidden Kobra nutzte außerdem die Websites einer italienischen Model-Agentur und eines Vintage-Musikgeschäfts aus Teheran, um die globale Skimming-Kampagne durchzuführen. Sansec habe eine Reihe von Exfiltrationsknotenpunkte identifiziert. „Um die Skimming-Operation zu monetarisieren, entwickelte Hidden Kobra ein globales Exfiltrationsnetzwerk. Dieses Netzwerk nutzt legitime Websites, die sie gekapert und wiederverwendet haben, um sie als Deckmantel für die kriminellen Aktivitäten zu nutzen.“ Die Hacker gebrauchen das Netzwerk auch, um „die Beute zu kanalisieren“. Dann werden sie im Dark Web verkauft.

Tarnkappe.info

Student und schon lange im Journalismus unterwegs. In der Vergangenheit Mitarbeiter für eine Vielzahl von klassischen Printzeitungen und Newsportalen. Erst für Lokalredaktionen, dann Sport und Gaming, seit Anfang 2020 im Dienst für die Tarnkappe. Abseits davon bin ich vor allem interessiert an Geopolitik, Geschichte und Literatur.