Er is een nieuw stuk JavaScript-malware waargenomen dat probeert de inloggegevens van de online bankrekening van gebruikers te stelen als onderdeel van een campagne die zich op meer dan 40 financiële instellingen over de hele wereld heeft gericht.
Het activiteitencluster, dat gebruik maakt van JavaScript-webinjecties, heeft naar schatting geleid tot ten minste 50.000 geïnfecteerde gebruikerssessies in Noord-Amerika, Zuid-Amerika, Europa en Japan.
IBM Security Trusteer zei dat het de campagne in maart 2023 had gedetecteerd.
“De intentie van bedreigingsactoren met de webinjectiemodule zal waarschijnlijk populaire bankapplicaties in gevaar brengen en, zodra de malware is geïnstalleerd, de inloggegevens van de gebruikers onderscheppen om vervolgens toegang te krijgen tot hun bankgegevens en er waarschijnlijk geld mee te verdienen”, aldus beveiligingsonderzoeker Tal Langus.
Aanvalsketens worden gekenmerkt door het gebruik van scripts die worden geladen vanaf de door de bedreigingsactor bestuurde server (“jscdnpack[.]com”), specifiek gericht op een paginastructuur die bij verschillende banken voorkomt. Er wordt vermoed dat de malware op een andere manier bij de doelen wordt afgeleverd, bijvoorbeeld via phishing-e-mails of malvertising.
Wanneer het slachtoffer een website van een bank bezoekt, wordt de inlogpagina gewijzigd om kwaadaardig JavaScript op te nemen dat in staat is de inloggegevens en eenmalige wachtwoorden (OTP’s) te verzamelen. Het script is versluierd om de ware bedoeling ervan te verbergen.
“Deze webinjectie richt zich niet op banken met verschillende inlogpagina’s, maar stuurt wel gegevens over de geïnfecteerde machine naar de server en kan eenvoudig worden aangepast om zich op andere banken te richten”, aldus Langus.
“Het gedrag van het script is zeer dynamisch, waarbij voortdurend zowel de command-and-control (C2)-server als de huidige paginastructuur worden bevraagd en de stroom wordt aangepast op basis van de verkregen informatie.”
De reactie van de server bepaalt de volgende actie, waardoor de sporen van de injecties kunnen worden gewist en frauduleuze gebruikersinterface-elementen kunnen worden ingevoegd om OTP’s te accepteren om de beveiligingsmaatregelen te omzeilen, en om een foutmelding te introduceren waarin staat dat de diensten voor online bankieren een tijdje niet beschikbaar zullen zijn. tijdsduur van 12 uur.
IBM zei dat het een poging is om de slachtoffers ervan te weerhouden in te loggen op hun accounts, waardoor de bedreigingsactoren een kans krijgen om de controle over de accounts over te nemen en ongeoorloofde acties uit te voeren.
Hoewel de exacte oorsprong van de malware momenteel niet bekend is, duiden de indicatoren van compromissen (IoC’s) op een mogelijke connectie met een bekende stealer- en loaderfamilie bekend als DanaBot, die is verspreid via kwaadaardige advertenties op Google Search en heeft gehandeld als een bedreiging. initiële toegangsvector voor ransomware.
“Deze geavanceerde bedreiging toont geavanceerde mogelijkheden, vooral bij het uitvoeren van man-in-the-browser-aanvallen met zijn dynamische communicatie, webinjectiemethoden en het vermogen om zich aan te passen op basis van serverinstructies en de huidige paginastatus”, aldus Langus.
De ontwikkeling komt op het moment dat Sophos meer licht werpt op een varkensslachtprogramma waarbij potentiële doelwitten worden verleid om te investeren in een nep-liquiditeitsmijndienst, waardoor een bredere reeks oplichting aan het licht komt die de actoren dit jaar vanaf november bijna 2,9 miljoen dollar aan cryptocurrency heeft opgeleverd. 15 van 90 slachtoffers.
“Ze lijken te zijn beheerd door drie afzonderlijke bedreigingsactiviteitengroepen die identieke frauduleuze app-sites voor gedecentraliseerde financiën (‘DeFi’) gebruiken, wat erop wijst dat ze deel uitmaken van of verbonden zijn met één enkele [Chinese] georganiseerde misdaad”, zegt veiligheidsonderzoeker Sean Gallagher.
Volgens gegevens die Europol eerder deze week heeft gedeeld, blijven investeringsfraude en BEC-fraude (Business E-mail Compromise) de meest productieve onlinefraudeconstructies.
“Een zorgwekkende dreiging rond investeringsfraude is het gebruik ervan in combinatie met andere fraudeprogramma’s tegen dezelfde slachtoffers”, aldus het agentschap.
“Investeringsfraude wordt soms in verband gebracht met romantische oplichting: criminelen bouwen langzaam een vertrouwensrelatie op met het slachtoffer en overtuigen hen vervolgens om hun spaargeld te investeren in frauduleuze handelsplatforms voor cryptocurrency, wat tot grote financiële verliezen leidt.”
In verband hiermee zei cyberbeveiligingsbedrijf Group-IB dat het sinds begin november 2023 1.539 phishingwebsites heeft geïdentificeerd die zich voordoen als postbedrijven en bezorgbedrijven. Er wordt vermoed dat ze zijn gemaakt voor een enkele oplichtingscampagne.
Bij deze aanvallen krijgen gebruikers sms-berichten die bekende postdiensten nabootsen en worden ze gevraagd de namaakwebsites te bezoeken om hun persoonlijke en betalingsgegevens in te voeren, waarbij urgente of mislukte leveringen worden vermeld.
De operatie is ook opmerkelijk vanwege de integratie van verschillende ontwijkingsmethoden om onder de radar te vliegen. Dit omvat onder meer het beperken van de toegang tot de oplichtingswebsites op basis van geografische locaties, ervoor zorgen dat ze alleen op specifieke apparaten en besturingssystemen werken, en het verkorten van de duur dat ze live zijn.
“De campagne treft postmerken in 53 landen”, aldus Group-IB. “De meeste gedetecteerde phishingpagina’s zijn gericht op gebruikers in Duitsland (17,5%), Polen (13,7%), Spanje (12,5%), Groot-Brittannië (4,2%), Turkije (3,4%) en Singapore (3,1%).”
