Se ha observado que una nueva pieza de malware JavaScript intenta robar las credenciales de las cuentas bancarias en línea de los usuarios como parte de una campaña dirigida a más de 40 instituciones financieras en todo el mundo.
Se estima que el grupo de actividad, que emplea inyecciones web de JavaScript, ha provocado al menos 50.000 sesiones de usuarios infectados en América del Norte, América del Sur, Europa y Japón.
IBM Security Trusteer dijo que detectó la campaña en marzo de 2023.
«Es probable que la intención de los actores de amenazas con el módulo de inyección web comprometa aplicaciones bancarias populares y, una vez instalado el malware, intercepte las credenciales de los usuarios para luego acceder y probablemente monetizar su información bancaria», dijo el investigador de seguridad Tal Langus .
Las cadenas de ataques se caracterizan por el uso de scripts cargados desde el servidor controlado por el actor de la amenaza («jscdnpack[.]com»), dirigidos específicamente a una estructura de página que es común a varios bancos. Se sospecha que el malware se entrega a los objetivos por otros medios, por ejemplo, a través de correos electrónicos de phishing o publicidad maliciosa.
Cuando la víctima visita el sitio web de un banco, la página de inicio de sesión se modifica para incorporar JavaScript malicioso capaz de recopilar credenciales y contraseñas de un solo uso (OTP). El guión está confuso para ocultar su verdadera intención.
«Esta inyección web no apunta a bancos con diferentes páginas de inicio de sesión, pero envía datos sobre la máquina infectada al servidor y puede modificarse fácilmente para apuntar a otros bancos», dijo Langus.
«El comportamiento del script es altamente dinámico, consulta continuamente tanto el servidor de comando y control (C2) como la estructura de la página actual y ajusta su flujo en función de la información obtenida».
La respuesta del servidor determina su próximo curso de acción, permitiéndole borrar rastros de las inyecciones e insertar elementos fraudulentos en la interfaz de usuario para aceptar OTP para eludir las protecciones de seguridad, así como introducir un mensaje de error que dice que los servicios bancarios en línea no estarán disponibles por un tiempo. periodo de tiempo de 12 horas.
IBM dijo que es un intento de disuadir a las víctimas de iniciar sesión en sus cuentas, brindando a los actores de amenazas una ventana de oportunidad para tomar el control de las cuentas y realizar acciones no autorizadas.
Si bien actualmente se desconocen los orígenes exactos del malware, los indicadores de compromiso (IoC) sugieren una posible conexión con una conocida familia de ladrones y cargadores conocida como DanaBot , que se ha propagado a través de anuncios maliciosos en la Búsqueda de Google y ha actuado como si fuera un vector de acceso inicial para ransomware.
«Esta sofisticada amenaza muestra capacidades avanzadas, particularmente en la ejecución de ataques de hombre en el navegador con su comunicación dinámica, métodos de inyección web y la capacidad de adaptarse según las instrucciones del servidor y el estado actual de la página», dijo Langus.
El desarrollo se produce cuando Sophos arroja más luz sobre un plan de matanza de cerdos en el que se atrae a objetivos potenciales para que inviertan en un servicio de extracción de liquidez falso , descubriendo un conjunto más amplio de estafas que les han reportado a los actores casi $2,9 millones en criptomonedas este año hasta noviembre. 15 de 90 víctimas.
«Parece que han sido dirigidos por tres grupos separados de actividad de amenazas que utilizan sitios idénticos de aplicaciones fraudulentas de finanzas descentralizadas (‘DeFi’), lo que sugiere que son parte o están afiliados a una única red de crimen organizado [chino]», dijo el investigador de seguridad Sean Gallagher.
Según los datos compartidos por Europol en su Evaluación de la amenaza del crimen organizado en Internet (IOCTA) a principios de esta semana, el fraude de inversiones y el fraude de correo electrónico comercial (BEC) siguen siendo los esquemas de fraude en línea más prolíficos.
«Una amenaza preocupante en torno al fraude de inversiones es su uso en combinación con otros esquemas de fraude contra las mismas víctimas», dijo la agencia .
«El fraude en inversiones a veces está relacionado con estafas románticas: los delincuentes construyen lentamente una relación de confianza con la víctima y luego la convencen de invertir sus ahorros en plataformas fraudulentas de comercio de criptomonedas, lo que genera grandes pérdidas financieras».
En una nota relacionada, la empresa de ciberseguridad Group-IB dijo que identificó 1.539 sitios web de phishing que se hacen pasar por operadores postales y empresas de entrega desde principios de noviembre de 2023. Se sospecha que fueron creados para una única campaña de estafa.
En estos ataques, los usuarios reciben mensajes SMS que imitan servicios postales conocidos y se les pide que visiten sitios web falsificados para ingresar sus datos personales y de pago, citando entregas urgentes o fallidas.
La operación también destaca por incorporar varios métodos de evasión para pasar desapercibidos. Esto incluye limitar el acceso a los sitios web fraudulentos según ubicaciones geográficas, asegurarse de que funcionen solo en dispositivos y sistemas operativos específicos y acortar la duración de su actividad.
«La campaña afecta a las marcas postales en 53 países», afirmó Group-IB . «La mayoría de las páginas de phishing detectadas se dirigen a usuarios de Alemania (17,5%), Polonia (13,7%), España (12,5%), Reino Unido (4,2%), Turquía (3,4%) y Singapur (3,1%).»
Fuente y redacción: thehackernews.com
