Uma nova campanha de malware que surgiu em março de 2023 usou injeções de JavaScript na web para tentar roubar os dados bancários de mais de 50 mil usuários de 40 bancos na América do Norte, América do Sul, Europa e Japão.
A equipe de segurança da IBM descobriu essa ameaça evasiva e relatou que a campanha estava em preparação desde pelo menos dezembro de 2022, quando os domínios maliciosos foram comprados.
Os ataques ocorreram por meio de scripts carregados do servidor do atacante, visando a uma estrutura de página específica comum em muitos bancos para interceptar credenciais de usuário e senhas de uso único (OTPs).
Ao capturar as informações acima, os invasores podem fazer login na conta bancária da vítima, trancá-las alterando as configurações de segurança e realizar transações não autorizadas.
O ataque começa com a infecção inicial do dispositivo da vítima pelo malware.
O relatório da IBM não detalha as especificidades desta fase, mas poderia ser por meio de malvertising, phishing, etc.
Uma vez que a vítima visita os sites comprometidos ou maliciosos dos atacantes, o malware injeta uma nova tag de script com um atributo de origem ('src') apontando para um script hospedado externamente.
O script malicioso ofuscado é carregado no navegador da vítima para modificar o conteúdo da página da web, capturar credenciais de login e interceptar códigos de acesso de uso único (OTP).
A IBM diz que esta etapa extra é incomum, pois a maioria dos malwares realiza injeções na web diretamente na página da web.
Essa nova abordagem torna os ataques mais furtivos, pois as verificações de análise estática dificilmente marcarão o script de carregamento mais simples como malicioso, enquanto ainda permite a entrega de conteúdo dinâmico, permitindo que os invasores mudem para novos payloads de segunda fase, se necessário.
Também vale a pena notar que o script malicioso se assemelha a redes de distribuição de conteúdo JavaScript legítimas (CDN), usando domínios como cdnjs[.]com e unpkg[.]com, para evitar a detecção.
Além disso, o script realiza verificações de produtos de segurança específicos antes da execução.
O script é dinâmico, ajustando constantemente seu comportamento às instruções do servidor de comando e controle, enviando atualizações e recebendo respostas específicas que orientam sua atividade no dispositivo violado.
Ele tem vários estados operacionais determinados por uma bandeira "mlink" definida pelo servidor, incluindo a injeção de prompts para números de telefone ou tokens OTP, exibindo mensagens de erro ou simulando o carregamento de página, tudo como parte de sua estratégia de roubo de dados.
A IBM diz que nove valores de variável "mlink" podem ser combinados para ordenar ao script que execute ações específicas de exfiltração de dados, então um conjunto diversificado de comandos é suportado.
Os pesquisadores encontraram ligações soltas entre esta nova campanha e DanaBot, um trojan bancário modular que tem circulado na natureza desde 2018 e foi visto recentemente se espalhando por meio de malvertising no Google Search promovendo instaladores falsos do Cisco Webex.
Segundo a IBM, a campanha ainda está em andamento, portanto, é aconselhável uma vigilância maior ao usar portais e aplicativos de bancos online.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...