Descubrió un grupo de piratas informáticos vietnamitas especializados en el robo de tarjetas de crédito en los últimos 8 años.

Los investigadores de seguridad acaban de descubrir un grupo de piratas informáticos vietnamitas desconocidos llamado XE Group. Este grupo ha estado involucrado en piratería y robo de información de tarjetas de crédito (skimming) con fines de lucro ilegal en los últimos 8 años.

Los resultados de la investigación muestran que XE Group utiliza vulnerabilidades disponibles públicamente para comprometer servicios externos, en particular, el error en la interfaz de usuario de Telerik. A partir de ahí, instalan código malicioso para robar las credenciales de los usuarios y la información de pago.

En promedio, XE Group puede robar miles de tarjetas de crédito todos los días, principalmente de restaurantes, organizaciones sin fines de lucro, organizaciones artísticas y plataformas de servicios de viajes.

En 2020, Malwarebytes realizó su primer informe sobre las actividades del Grupo XE. Recientemente, la empresa de seguridad Volexity siguió publicando un análisis más profundo de este grupo de hackers.

En particular, Volexity mapea la infraestructura utilizada por XE Group durante los últimos tres años y comparte todos los detalles técnicos y el IOC de GitHub. Los investigadores han descubierto que muchos sitios web han sido atacados por XE Group utilizando la misma técnica, que implica la descarga de scripts de JavaScript maliciosos.

Este tipo de ataque se conoce como Megacart, y los piratas informáticos suelen agregar código JavaScript malicioso a los sitios de comercio electrónico para recopilar información del cliente y el pago cuando se envía esta información. Los datos robados se enviarán a un servidor remoto controlado por el Grupo XE.

La vida útil de los ataques depende de qué tan bien el código malicioso pueda escapar de la red antes de que se detecten los productos de seguridad.

Según la prueba, el malware de XE Group logró una puntuación perfecta de 0/57 en VirusTotal. Esto significa que es completamente indetectable por el software antivirus.

En comparación con el informe Malwarebytes de 2020, el informe Volexity muestra que el malware de XE Group ha evolucionado. Se han agregado muchas mejoras sutiles para aumentar la evasión, así como capacidades de recuperación de datos.

Volexity dijo que XE Group está dirigido por piratas informáticos vietnamitas porque algunos nombres de dominio utilizados para los servidores de comando y control están registrados con el nombre de una persona en Vietnam.

Foto 1 de Descubrí un grupo de hackers vietnamitas especializados en robo de tarjetas de crédito en los últimos 8 años

Aunque la información de registro del dominio fue falsificada, los investigadores vincularon al registrante, Joe Nguyen, a un repositorio creado por un usuario con el mismo nombre que el avatar de XE.

Además, el apodo "xethanh" asociado con el repositorio de GitHub también se usó para registrar una cuenta crdclub.[.]su foro donde el grupo de hackers proporcionó la información de la tarjeta de crédito que robaron.

Investigaciones posteriores han encontrado cuentas similares en otros foros especializados en tarjetas de crédito, como cybercards.[.]foro su y carding[.]Esto demuestra que el grupo de hackers de XE Group prefiere vender información sobre la tarjeta en lugar de explotarla él mismo.

Según Volexity, las cuentas asociadas con Joe Nguyen tienen un historial de 2013. Por lo tanto, es probable que XE Group haya estado activo en el pirateo y el robo de información de tarjetas de crédito durante hasta 8 años, pero solo un informe está relacionado con ellos.

Además de informes detallados, Volexity también proporciona indicadores de red y alertas para ayudar a los administradores a bloquear los ataques de XE Group. Puedes comprobarlo pinchando en los siguientes enlaces:

  1. Indicador de red
  2. Señalización VEHÍCULO Grupo

¡Deseo que siempre tenga una solución segura para su sistema!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!