Търсене
Close this search box.

Нова кампания за уеб инжекции краде банкови данни от 50 000 души

Нова кампания за зловреден софтуер, появила се през март 2023 г., използва уеб инжекции с JavaScript, за да се опита да открадне банковите данни на над 50 000 потребители на 40 банки в Северна Америка, Южна Америка, Европа и Япония.

Екипът по сигурността на IBM откри тази уклончива заплаха и съобщи, че кампанията е била подготвяна поне от декември 2022 г., когато са били закупени злонамерените домейни.

Атаките се разгръщаха чрез скриптове, заредени от сървъра на нападателя, насочени към специфична структура на страница, обща за много банки, за да се прихванат потребителските данни и еднократните пароли (OTP).

Прихващайки горната информация, нападателите могат да влязат в банковата сметка на жертвата, да я блокират, като променят настройките за сигурност, и да извършат неоторизирани трансакции.

Верига от скрити атаки

Атаката започва с първоначалното заразяване на устройството на жертвата със зловреден софтуер. В доклада на IBM не се навлиза в спецификата на този етап, но той може да бъде чрез зловреден софтуер, фишинг и др.

След като жертвата посети компрометирани или злонамерени сайтове на нападателите, зловредният софтуер инжектира нов таг за скрипт с атрибут source („src“), сочещ към външно хостван скрипт.

Злонамереният замаскиран скрипт се зарежда в браузъра на жертвата, за да модифицира съдържанието на уебстраницата, да прихване данните за вход и да прихване еднократните кодове за достъп (OTP).

IBM казва, че тази допълнителна стъпка е необичайна, тъй като повечето зловредни програми извършват уеб инжекции директно в уеб страницата.

Този нов подход прави атаките по-прикрити, тъй като е малко вероятно проверките за статичен анализ да отбележат по-простия скрипт за зареждане като злонамерен, като същевременно позволяват динамично доставяне на съдържание, което позволява на нападателите да преминат към нов полезен товар на втория етап, ако е необходимо.

Заслужава да се отбележи също така, че зловредният скрипт наподобява легитимни мрежи за доставка на съдържание (CDN) на JavaScript, като използва домейни като cdnjs[.]com и unpkg[.]com, за да избегне откриване. Освен това скриптът извършва проверки за определени продукти за сигурност преди изпълнението си.

Searching for security products

Проверка на продукти за сигурност (IBM)

Скриптът е динамичен, като постоянно адаптира поведението си към инструкциите на сървъра за командване и контрол, изпраща актуализации и получава конкретни отговори, които направляват дейността му на нарушеното устройство.

Той има множество оперативни състояния, които се определят от флага „mlink“, зададен от сървъра, включително инжектиране на подкани за телефонни номера или OTP токени, показване на съобщения за грешки или симулиране на зареждане на страници – всичко това е част от стратегията му за кражба на данни.

Fake error message giving attackers time to use stolen data

Фалшиво съобщение за грешка дава на нападателите време да използват откраднатите данни (IBM)

IBM казва, че девет стойности на променливата „mlink“ могат да се комбинират, за да се нареди на скрипта да извърши конкретни, различни действия за ексфилтриране на данни, така че се поддържа разнообразен набор от команди.

Page designed to steal OTPs

Страница, предназначена за кражба на OTP (IBM)

Изследователите са открили слаби връзки между тази нова кампания и DanaBot – модулен банков троянски кон, който се разпространява в дивата природа от 2018 г. и наскоро беше забелязан да се разпространява чрез злонамерена реклама в Google Search, рекламираща фалшиви инсталатори на Cisco Webex.

Според IBM кампанията все още е в ход, така че се препоръчва повишена бдителност при използване на портали и приложения за онлайн банкиране.

 

Източник: e-security.bg

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
16 април 2024

UnitedHealth Group отчете 872 млн. щатски долар...

UnitedHealth Group отчете 872 млн. щатски долара въздействие върху ...
Бъдете социални
Още по темата
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

Cisco предупреждава за маща...

Изследователите твърдят, че атаките са започнали...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!