{"id":1101767,"date":"2023-12-21T12:57:22","date_gmt":"2023-12-21T12:57:22","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-malware-javascript-dirigido-a-mas-de-50-000-usuarios-en-docenas-de-bancos-en-todo-el-mundo\/"},"modified":"2023-12-21T12:57:26","modified_gmt":"2023-12-21T12:57:26","slug":"nuevo-malware-javascript-dirigido-a-mas-de-50-000-usuarios-en-docenas-de-bancos-en-todo-el-mundo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-malware-javascript-dirigido-a-mas-de-50-000-usuarios-en-docenas-de-bancos-en-todo-el-mundo\/","title":{"rendered":"Nuevo malware JavaScript dirigido a m\u00e1s de 50.000 usuarios en docenas de bancos en todo el mundo"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Se ha observado que una nueva pieza de malware JavaScript intenta robar las credenciales de las cuentas bancarias en l\u00ednea de los usuarios como parte de una campa\u00f1a dirigida a m\u00e1s de 40 instituciones financieras en todo el mundo.<\/p>\n

Se estima que el grupo de actividad, que emplea inyecciones web de JavaScript, ha provocado al menos 50.000 sesiones de usuarios infectados en Am\u00e9rica del Norte, Am\u00e9rica del Sur, Europa y Jap\u00f3n.<\/p>\n

IBM Security Trusteer dijo que detect\u00f3 la campa\u00f1a en marzo de 2023.<\/p>\n

“La intenci\u00f3n de los actores de amenazas con el m\u00f3dulo de inyecci\u00f3n web probablemente comprometa aplicaciones bancarias populares y, una vez instalado el malware, intercepte las credenciales de los usuarios para luego acceder y probablemente monetizar su informaci\u00f3n bancaria”, dijo el investigador de seguridad Tal Langus. dicho<\/a>.<\/p>\n

Las cadenas de ataque se caracterizan por el uso de scripts cargados desde el servidor controlado por el actor de amenazas (“jscdnpack[.]com”), dirigido espec\u00edficamente a una estructura de p\u00e1gina que es com\u00fan a varios bancos. Se sospecha que el malware se entrega a los objetivos por otros medios, por ejemplo, a trav\u00e9s de correos electr\u00f3nicos de phishing o publicidad maliciosa. <\/p>\n

Cuando la v\u00edctima visita el sitio web de un banco, la p\u00e1gina de inicio de sesi\u00f3n se modifica para incorporar JavaScript malicioso capaz de recopilar credenciales y contrase\u00f1as de un solo uso (OTP). El gui\u00f3n est\u00e1 confuso para ocultar su verdadera intenci\u00f3n.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span> <\/p>\n

Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n

<\/a> <\/p>\n

Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes. <\/p>\n

\u00danete ahora<\/a> <\/section>\n

“Esta inyecci\u00f3n web no apunta a bancos con diferentes p\u00e1ginas de inicio de sesi\u00f3n, pero env\u00eda datos sobre la m\u00e1quina infectada al servidor y puede modificarse f\u00e1cilmente para apuntar a otros bancos”, dijo Langus.<\/p>\n

“El comportamiento del script es altamente din\u00e1mico, consulta continuamente tanto el servidor de comando y control (C2) como la estructura de la p\u00e1gina actual y ajusta su flujo en funci\u00f3n de la informaci\u00f3n obtenida”.<\/p>\n

La respuesta del servidor determina su pr\u00f3ximo curso de acci\u00f3n, permiti\u00e9ndole borrar rastros de las inyecciones e insertar elementos fraudulentos en la interfaz de usuario para aceptar OTP para eludir las protecciones de seguridad, as\u00ed como introducir un mensaje de error que dice que los servicios bancarios en l\u00ednea no estar\u00e1n disponibles por un tiempo. periodo de tiempo de 12 horas.<\/p>\n

IBM dijo que es un intento de disuadir a las v\u00edctimas de iniciar sesi\u00f3n en sus cuentas, brindando a los actores de amenazas una ventana de oportunidad para tomar el control de las cuentas y realizar acciones no autorizadas.<\/p>\n

Si bien actualmente se desconocen los or\u00edgenes exactos del malware, los indicadores de compromiso (IoC) sugieren una posible conexi\u00f3n con una conocida familia de ladrones y cargadores conocida como DanaBot, que se ha propagado a trav\u00e9s de anuncios maliciosos en la B\u00fasqueda de Google<\/a> y ha actuado como vector de acceso inicial para ransomware.<\/p>\n

\"Programa<\/a><\/div>\n

“Esta sofisticada amenaza muestra capacidades avanzadas, particularmente en la ejecuci\u00f3n de ataques de hombre en el navegador con su comunicaci\u00f3n din\u00e1mica, m\u00e9todos de inyecci\u00f3n web y la capacidad de adaptarse seg\u00fan las instrucciones del servidor y el estado actual de la p\u00e1gina”, dijo Langus.<\/p>\n

El desarrollo se produce cuando Sophos arroja m\u00e1s luz sobre un plan de matanza de cerdos en el que se atrae a objetivos potenciales para que inviertan en un servicio de extracci\u00f3n de liquidez falso, descubriendo un conjunto m\u00e1s amplio de estafas que les han reportado a los actores casi $ 2,9 millones en criptomonedas este a\u00f1o hasta noviembre. 15 de 90 v\u00edctimas.<\/p>\n

“Parece que han sido dirigidos por tres grupos separados de actividad de amenazas que utilizan sitios id\u00e9nticos de aplicaciones fraudulentas de finanzas descentralizadas (‘DeFi’), lo que sugiere que son parte o est\u00e1n afiliados a un \u00fanico [Chinese] red de crimen organizado”, dijo el investigador de seguridad Sean Gallagher dicho<\/a>.<\/p>\n

De acuerdo a datos compartidos<\/a> Seg\u00fan Europol a principios de esta semana, el fraude de inversiones y el fraude de correo electr\u00f3nico empresarial (BEC) siguen siendo los esquemas de fraude en l\u00ednea m\u00e1s prol\u00edficos.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Una amenaza preocupante en torno al fraude en inversiones es su uso en combinaci\u00f3n con otros esquemas de fraude contra las mismas v\u00edctimas”, dijo la agencia. dicho<\/a>.<\/p>\n

“El fraude en inversiones a veces est\u00e1 relacionado con estafas rom\u00e1nticas: los delincuentes construyen lentamente una relaci\u00f3n de confianza con la v\u00edctima y luego la convencen de invertir sus ahorros en plataformas fraudulentas de comercio de criptomonedas, lo que genera grandes p\u00e9rdidas financieras”.<\/p>\n

En una nota relacionada, la empresa de ciberseguridad Group-IB dijo que identific\u00f3 1.539 sitios web de phishing que se hacen pasar por operadores postales y empresas de entrega desde principios de noviembre de 2023. Se sospecha que fueron creados para una \u00fanica campa\u00f1a de estafa.<\/p>\n

En estos ataques, los usuarios reciben mensajes SMS que imitan servicios postales conocidos y se les pide que visiten sitios web falsificados para ingresar sus datos personales y de pago, citando entregas urgentes o fallidas.<\/p>\n

La operaci\u00f3n tambi\u00e9n destaca por incorporar varios m\u00e9todos de evasi\u00f3n para pasar desapercibidos. Esto incluye limitar el acceso a los sitios web fraudulentos seg\u00fan ubicaciones geogr\u00e1ficas, asegurarse de que funcionen solo en dispositivos y sistemas operativos espec\u00edficos y acortar su duraci\u00f3n.<\/p>\n

“La campa\u00f1a afecta a las marcas postales en 53 pa\u00edses”, Group-IB dicho<\/a>. “La mayor\u00eda de las p\u00e1ginas de phishing detectadas se dirigen a usuarios de Alemania (17,5%), Polonia (13,7%), Espa\u00f1a (12,5%), Reino Unido (4,2%), Turqu\u00eda (3,4%) y Singapur (3,1%).”<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n