Uma nova campanha de malware, surgida em março, usa injeções na web de código JavaScript mal-intencionado para tentar roubar os dados bancários de mais de 50 mil correntistas de 40 bancos na América do Norte, América do Sul, Europa e Japão.
A equipe de segurança da IBM descobriu a ameaça e informou que a campanha está em preparação desde ao menos dezembro de 2022, quando os domínios maliciosos foram comprados.
Os ataques se desenrolaram por meio de scripts carregados do servidor do invasor, visando uma estrutura de página específica comum em muitos bancos para interceptar credenciais de usuário e senhas de uso único (OTPs). Ao capturar as informações, os invasores podem fazer login na conta bancária da vítima, bloqueá-la alterando as configurações de segurança e realizar transações não autorizadas.
O ataque começa com a infecção inicial por malware do dispositivo da vítima. O relatório da IBM não se aprofunda nos detalhes dessa etapa, mas explica que, depois que a vítima visita os sites comprometidos ou mal-intencionados, o malware injeta uma nova tag de script com um atributo source (src) apontando para um script hospedado externamente. O script ofuscado mal-intencionado é carregado no navegador da vítima para modificar o conteúdo da página da web, capturar credenciais de login e interceptar senhas OTP.
A IBM diz que essa etapa extra é incomum, já que a maioria dos malwares executa injeções da web diretamente na página da web. Segundo a empresa, essa nova abordagem torna os ataques mais furtivos, já que é improvável que as verificações de análise estática sinalizem o script de carregador mais simples como malicioso, ao mesmo tempo em que permite a entrega dinâmica de conteúdo, possibilitando que os invasores mudem para novas cargas úteis de segundo estágio, se necessário.
Também vale a pena notar que o script malicioso se assemelha a redes legítimas de entrega de conteúdo JavaScript (CDN), usando domínios como cdnjs[.] com e unpkg[.] com, para evitar a detecção. Além disso, o script executa verificações de produtos de segurança específicos antes da execução.
Veja isso
Mais de 29 mil dispositivos QNAP vulneráveis a injeção de código
Hackers usam técnica de injeção RTF para espalhar malware
O script é dinâmico, ajustando constantemente seu comportamento às instruções do servidor de comando e controle (C&C), enviando atualizações e recebendo respostas específicas que orientam sua atividade no dispositivo violado. Ele tem vários estados operacionais determinados por um sinalizador “mlink” definido pelo servidor, incluindo a injeção de prompts para números de telefone ou tokens OTP, a exibição de mensagens de erro ou a simulação do carregamento de páginas, tudo parte de sua estratégia de roubo de dados.
A IBM diz que nove valores de variáveis “mlink” podem ser combinados para ordenar que o script execute ações de exfiltração de dados específicas e distintas, para que um conjunto diversificado de comandos seja suportado. Os pesquisadores encontraram conexões soltas entre esta nova campanha e o DanaBot, um trojan bancário modular que circula desde 2018 e foi visto recentemente se espalhando via Google Search malvertising promovendo falsos instaladores Cisco Webex.
De acordo com a IBM, a campanha ainda está em andamento, por isso é aconselhada uma maior vigilância ao usar portais e aplicativos de banco online.
Para ter acesso ao relatório sobre a campanha de malware, em inglês, clique aqui.