Un nouveau logiciel malveillant JavaScript a été observé en train de tenter de voler les informations d’identification des comptes bancaires en ligne des utilisateurs dans le cadre d’une campagne ciblant plus de 40 institutions financières à travers le monde.
On estime que le cluster d’activités, qui utilise des injections Web JavaScript, a entraîné l’infection d’au moins 50 000 sessions utilisateur en Amérique du Nord, en Amérique du Sud, en Europe et au Japon.
IBM Security Trusteer a déclaré avoir détecté la campagne en mars 2023.
« L’intention des acteurs malveillants avec le module d’injection Web est susceptible de compromettre les applications bancaires populaires et, une fois le malware installé, d’intercepter les informations d’identification des utilisateurs afin d’accéder ensuite à leurs informations bancaires et probablement de les monétiser », a déclaré le chercheur en sécurité Tal Langus. dit.
Les chaînes d’attaque se caractérisent par l’utilisation de scripts chargés depuis le serveur contrôlé par l’acteur menaçant (« jscdnpack[.]com »), ciblant spécifiquement une structure de page commune à plusieurs banques. On soupçonne que le logiciel malveillant est transmis aux cibles par d’autres moyens, par exemple via des e-mails de phishing ou des publicités malveillantes.
Lorsque la victime visite le site Web d’une banque, la page de connexion est modifiée pour incorporer du JavaScript malveillant capable de récolter les informations d’identification et les mots de passe à usage unique (OTP). Le script est obscurci pour cacher sa véritable intention.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
« Cette injection Web ne cible pas les banques avec des pages de connexion différentes, mais elle envoie des données sur la machine infectée au serveur et peut facilement être modifiée pour cibler d’autres banques », a déclaré Langus.
« Le comportement du script est très dynamique, interrogeant en permanence à la fois le serveur de commande et de contrôle (C2) et la structure actuelle de la page et ajustant son flux en fonction des informations obtenues. »
La réponse du serveur détermine son prochain plan d’action, lui permettant d’effacer les traces des injections et d’insérer des éléments d’interface utilisateur frauduleux pour accepter les OTP afin de contourner les protections de sécurité et d’introduire un message d’erreur indiquant que les services bancaires en ligne seront indisponibles pendant un certain temps. période de 12 heures.
IBM a déclaré qu’il s’agissait d’une tentative de dissuader les victimes de se connecter à leurs comptes, offrant ainsi aux acteurs de la menace une fenêtre d’opportunité pour prendre le contrôle des comptes et effectuer des actions non autorisées.
Bien que les origines exactes du malware ne soient pas connues pour le moment, les indicateurs de compromission (IoC) suggèrent une connexion possible à une famille connue de voleurs et de chargeurs connue sous le nom de DanaBot, qui s’est propagée via publicités malveillantes sur la recherche Google et a agi comme un vecteur d’accès initial pour les ransomwares.
« Cette menace sophistiquée présente des capacités avancées, en particulier dans l’exécution d’attaques de type homme dans le navigateur, avec sa communication dynamique, ses méthodes d’injection Web et sa capacité d’adaptation en fonction des instructions du serveur et de l’état actuel de la page », a déclaré Langus.
Cette évolution intervient alors que Sophos fait la lumière sur un projet d’abattage de porcs dans lequel des cibles potentielles sont incitées à investir dans un faux service d’extraction de liquidités, révélant un ensemble plus large d’escroqueries qui ont rapporté aux acteurs près de 2,9 millions de dollars de crypto-monnaie cette année en novembre. 15 sur 90 victimes.
« Ils semblent avoir été dirigés par trois groupes d’activités de menace distincts utilisant des sites d’applications frauduleuses de finance décentralisée (« DeFi ») identiques, ce qui suggère qu’ils font partie ou sont affiliés à un seul. [Chinese] réseau du crime organisé », a déclaré le chercheur en sécurité Sean Gallagher. dit.
Selon données partagées Selon Europol plus tôt cette semaine, la fraude à l’investissement et la fraude à la compromission des courriers électroniques professionnels (BEC) restent les stratagèmes de fraude en ligne les plus prolifiques.
« Une menace préoccupante concernant la fraude à l’investissement est son utilisation en combinaison avec d’autres stratagèmes frauduleux contre les mêmes victimes », a déclaré l’agence. dit.
« La fraude financière est parfois liée aux escroqueries amoureuses : les criminels construisent lentement une relation de confiance avec la victime, puis la convainquent d’investir ses économies sur des plateformes frauduleuses de trading de cryptomonnaies, ce qui entraîne d’importantes pertes financières. »
Dans le même ordre d’idées, la société de cybersécurité Group-IB a déclaré avoir identifié 1 539 sites Web de phishing usurpant l’identité d’opérateurs postaux et d’entreprises de livraison depuis début novembre 2023. Ils sont soupçonnés d’avoir été créés pour une seule campagne d’escroquerie.
Dans ces attaques, les utilisateurs reçoivent des messages SMS imitant des services postaux bien connus et sont invités à visiter les sites Web contrefaits pour saisir leurs informations personnelles et de paiement, citant des livraisons urgentes ou échouées.
L’opération se distingue également par l’intégration de diverses méthodes d’évasion permettant de passer sous le radar. Cela implique de limiter l’accès aux sites Web frauduleux en fonction de l’emplacement géographique, de s’assurer qu’ils fonctionnent uniquement sur des appareils et des systèmes d’exploitation spécifiques et de raccourcir la durée de leur diffusion.
« La campagne affecte les marques postales dans 53 pays », Group-IB dit. « La plupart des pages de phishing détectées ciblent des utilisateurs en Allemagne (17,5 %), en Pologne (13,7 %), en Espagne (12,5 %), au Royaume-Uni (4,2 %), en Turquie (3,4 %) et à Singapour (3,1 %).