Засечен бе нов зловреден софтуер през JavaScript, който се опитва да открадне данните на потребителите за техните сметки за онлайн банкиране в рамките на кампания, насочена към над 40 финансови институции в цял свят.
Смята се, че групата дейности, която използва уеб инжекции на JavaScript, е довела до най-малко 50 000 заразени потребителски сесии в Северна Америка, Южна Америка, Европа и Япония.
IBM Security Trusteer заяви, че е открила заплахата през март 2023 г.
"Намерението на участниците в заплахата с модула за уеб инжектиране вероятно е да компрометират популярни банкови приложения и след като зловредният софтуер бъде инсталиран, да прихванат идентификационните данни на потребителите, за да получат след това достъп и вероятно да монетизират банковата им информация", заяви изследователят по сигурността Тал Лангус.
Веригите за атаки се характеризират с използването на скриптове, заредени от контролирания от актьора на заплахата сървър (jscdnpack[.]com), като конкретно се насочват към структура на страница, която е обща за няколко банки. Подозира се, че зловредният софтуер се доставя на целите по някакъв друг начин, например чрез фишинг имейли или злонамерена реклама.
Когато жертвата посети уебсайт на банка, страницата за влизане се променя, за да включи зловреден JavaScript, който може да събере данните за достъп и еднократните пароли (OTP). Скриптът е замаскиран, за да се скрие истинското му намерение.
"Тази уеб инжекция не е насочена към банки с различни страници за вход, но изпраща данни за заразената машина на сървъра и може лесно да бъде модифицирана, за да бъде насочена към други банки", казва Лангус.
"Поведението на скрипта е изключително динамично, като непрекъснато отправя запитвания както към сървъра за командване и управление (C2), така и към структурата на текущата страница и регулира потока си въз основа на получената информация."
Отговорът от сървъра определя следващия му ход на действие, което му позволява да изтрие следите от инжекциите и да вмъкне измамни елементи на потребителския интерфейс за приемане на OTP, за да заобиколи защитите за сигурност, както и да въведе съобщение за грешка, според което услугите за онлайн банкиране няма да са достъпни за период от 12 часа.
От IBM твърдят, че това е опит да се разубедят жертвите да влязат в акаунтите си, което предоставя на участниците в заплахите възможност да поемат контрола над акаунтите и да извършат неоторизирани действия.
В свързана новина компанията за киберсигурност Group-IB съобщи, че от началото на ноември 2023 г. е идентифицирала 1539 фишинг уебсайта, представящи се за пощенски оператори и компании за доставки. Предполага се, че те са създадени за една измамна кампания.
При тези атаки на потребителите се изпращат SMS съобщения, които имитират добре познати пощенски услуги, и те са подканени да посетят фалшивите уебсайтове, за да въведат личните си данни и данните за плащане, позовавайки се на спешни или неуспешни доставки.
Снимка: Unsplash
Виж още: Земята може да се превърне в необитаем ад до няколкостотин години заради парниковите газове