Um novo malware JavaScript foi observado tentando roubar as credenciais de conta bancária online dos usuários como parte de uma campanha que visou mais de 40 instituições financeiras ao redor do mundo.
O agrupamento de atividades, que utiliza injeções de JavaScript na web, é estimado ter levado a pelo menos 50.000 sessões de usuários infectados, abrangendo América do Norte, América do Sul, Europa e Japão.
IBM Security Trusteer disse que detectou a campanha em março de 2023.
"A intenção dos atores de ameaça com o módulo de injeção web é provavelmente comprometer aplicações bancárias populares e, uma vez que o malware esteja instalado, interceptar as credenciais dos usuários para então acessar e provavelmente monetizar suas informações bancárias", disse o pesquisador de segurança Tal Langus.
As cadeias de ataque são caracterizadas pelo uso de scripts carregados do servidor controlado pelo ator da ameaça ("jscdnpack [.]com"), visando especificamente uma estrutura de página que é comum a vários bancos.
Suspeita-se que o malware seja entregue aos alvos por outros meios, por exemplo, por meio de e-mails de phishing ou malvertising.
Quando a vítima visita um site bancário, a página de login é alterada para incorporar JavaScript malicioso capaz de colher as credenciais e senhas de uso único (OTPs).
O script é ofuscado para ocultar sua verdadeira intenção.
"Essa injeção web não visa bancos com páginas de login diferentes, mas envia dados sobre a máquina infectada para o servidor e pode ser facilmente modificada para visar outros bancos", disse Langus.
"O comportamento do script é altamente dinâmico, consultando continuamente tanto o servidor de comando e controle (C2) quanto a atual estrutura da página e ajustando seu fluxo com base nas informações obtidas."
A resposta do servidor determina o próximo curso de ação, permitindo que ele apague os vestígios das injeções e insira elementos de interface do usuário fraudulentos para aceitar OTPs para contornar proteções de segurança, bem como introduza uma mensagem de erro dizendo que os serviços bancários online estarão indisponíveis por um período de 12 horas.
A IBM disse que se trata de uma tentativa de desencorajar as vítimas a acessarem suas contas, dando aos atores de ameaças uma janela de oportunidade para tomar o controle das contas e realizar ações não autorizadas.
Embora a origem exata do malware não seja conhecida no momento, os indicadores de comprometimento (IoCs) sugerem uma possível conexão com uma conhecida família de ladrão e carregador conhecida como DanaBot, que tem sido propagado por meio de anúncios maliciosos na Pesquisa Google e agiu como um vetor de acesso inicial para ransomware.
"Essa ameaça sofisticada mostra capacidades avançadas, principalmente na execução de ataques de homem no navegador com sua comunicação dinâmica, métodos de injeção na web e a habilidade de se adaptar com base em instruções do servidor e estado da página atual", disse Langus.
O desenvolvimento vem quando a Sophos esclareceu mais sobre um esquema de abate de porcos no qual potenciais alvos são atraídos para investir em um falso serviço de mineração de liquidez, revelando um conjunto mais amplo de golpes que rendeu aos atores quase US$ 2,9 milhões em criptomoedas este ano até 15 de novembro, de 90 vítimas.
"Eles parecem ter sido executados por três grupos distintos de atividades de ameaça usando sites de aplicativos financeiros descentralizados ('DeFi') fraudulentos idênticos, sugerindo que fazem parte ou são afiliados a uma única [chinesa] organização criminosa", disse o pesquisador de segurança Sean Gallagher.
De acordo com os dados compartilhados pela Europol em sua Avaliação de Ameaça do Crime Organizado na Internet (IOCTA) na semana passada, a fraude de investimento e a fraude de comprometimento de e-mail comercial (BEC) continuam sendo os esquemas de fraudes online mais prolíficos.
"Uma ameaça preocupante em torno da fraude de investimento é seu uso em combinação com outros esquemas de fraude contra as mesmas vítimas", disse a agência.
"A fraude de investimento às vezes está ligada a golpes românticos: os criminosos lentamente constroem um relacionamento de confiança com a vítima e, em seguida, a convencem a investir suas economias em plataformas de negociação de criptomoedas fraudulentas, levando a grandes perdas financeiras."
Em uma nota relacionada, a empresa de cibersegurança Group-IB disse que identificou 1.539 sites de phishing se passando por operadores postais e empresas de entrega desde o início de novembro de 2023.
Suspeita-se que eles foram criados para uma única campanha de golpe.
Nesses ataques, os usuários recebem mensagens de SMS que imitam serviços postais conhecidos e são solicitados a visitar os sites falsos para inserir seus dados pessoais e de pagamento, citando entregas urgentes ou falhas.
A operação também é notável por incorporar vários métodos de evasão para passar despercebida.
Isso inclui limitar o acesso aos sites de golpe com base em localizações geográficas, garantir que eles funcionem apenas em dispositivos e sistemas operacionais específicos e encurtar a duração pela qual eles estão ativos.
"A campanha afeta marcas postais em 53 países", disse Group-IB.
"A maioria das páginas de phishing detectadas visam usuários na Alemanha (17,5%), Polônia (13,7%), Espanha (12,5%), Reino Unido (4,2%), Turquia (3,4%) e Singapura (3,1%)".
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...