A empresa de segurança Resecurity, baseada em Los Angeles, descobriu um novo marketplace onde cibercriminosos comercializam malware bancário proto para uso contra instituições de 31 países, um dos quais é o Brasil. Existem malwares talhados para ataque a sete bancos brasileiros. Chamado de “InTheBox”, esse marketplace surgiu recentemente na dark web e foi projetado especificamente para operadores de malware móvel.
Veja isso
Brasil lidera em ataques ao setor bancário e malwares
Brasil gera 60% dos trojans bancários na América Latina
As primeiras menções de “InTheBox” foram identificadas em comunidades clandestinas respeitáveis por volta de janeiro de 2020 – desde então, o principal ator estava oferecendo serviços de desenvolvimento de webinjects para outros cibercriminosos em particular, mas depois de ganhar credibilidade suficiente, o ator escalou para um mercado automatizado totalmente produtizado. A automação permite que outros agentes mal-intencionados criem pedidos para receber o webinject mais atualizado para posterior implementação em malware móvel. Para aqueles que usam proprietário (ou o chamado “privado”), o malware móvel não está amplamente disponível para venda ou aluguel, por isso “InTheBox” está oferecendo soluções de desenvolvimento personalizadas.
Vale a pena mencionar como quase todos eles podem ser usados para interceptação de credenciais de qualquer serviço que a vítima tente acessar usando seu dispositivo móvel além do banco online. O malfeitor pode então usar os dados roubados desses dispositivos para fins maliciosos. Para facilitar a interceptação bem-sucedida de credenciais, os malfeitores usam os chamados “Webinjects” – módulos ou pacotes personalizados usados em malware que normalmente injetam código HTML ou JavaScript no conteúdo antes de ser renderizado em um navegador da web. Como resultado, os webinjects podem alterar o que o usuário vê em seu navegador, ao contrário do que de fato está sendo enviado pelo servidor.
Normalmente, os desenvolvedores de malware projetam o código para interceptar as credenciais das vítimas usando essa abordagem que, na prática, parece completamente invisível visualmente, pois o webinject interpretará um design idêntico de páginas legítimas de serviços populares. Tecnicamente, a taxa de sucesso do roubo bancário depende da qualidade do webinject e da estabilidade do malware móvel. Nos últimos anos, o mercado de malware bancário móvel tornou-se extremamente maduro, e a maioria dos atores da Dark Web parou de vendê-lo, eles mudaram para o aluguel potencial ou para o uso privado.
O relatório da Resecurity está em “https://resecurity.com/blog/article/in-the-box-mobile-malware-webinjects-marketplace”