Une nouvelle campagne de logiciels malveillants apparue en mars 2023 a utilisé des injections Web JavaScript pour tenter de voler les données bancaires de plus de 50 000 utilisateurs de 40 banques en Amérique du Nord, en Amérique du Sud, en Europe et au Japon.

L’équipe de sécurité d’IBM a découvert cette menace évasive et a signalé que la campagne était en préparation depuis au moins décembre 2022, lorsque les domaines malveillants ont été achetés.

Les attaques se sont déroulées via des scripts chargés à partir du serveur de l’attaquant, ciblant une structure de page spécifique commune à de nombreuses banques pour intercepter les informations d’identification des utilisateurs et les mots de passe à usage unique (OTP).

En capturant les informations ci-dessus, les attaquants peuvent se connecter au compte bancaire de la victime, les verrouiller en modifiant les paramètres de sécurité et effectuer des transactions non autorisées.

Une chaîne d’attaque furtive
L’attaque commence par l’infection initiale par un logiciel malveillant de l’appareil de la victime. Le rapport d’IBM n’approfondit pas les détails de cette étape, mais cela pourrait se faire par malvertising, hameçonnage, etc.

Une fois que la victime visite les sites compromis ou malveillants des attaquants, le logiciel malveillant injecte une nouvelle balise de script avec un attribut source (« src ») pointant vers un script hébergé en externe.

Le script masqué malveillant est chargé sur le navigateur de la victime pour modifier le contenu de la page Web, capturer les informations de connexion et intercepter les codes d’accès à usage unique (OTP).

IBM affirme que cette étape supplémentaire est inhabituelle, car la plupart des logiciels malveillants effectuent des injections Web directement sur la page Web.

Cette nouvelle approche rend les attaques plus furtives, car il est peu probable que les contrôles d’analyse statique marquent le script de chargement plus simple comme malveillant tout en permettant la diffusion de contenu dynamique, permettant aux attaquants de passer à de nouvelles charges utiles de deuxième étape si nécessaire.

Il convient également de noter que le script malveillant ressemble à des réseaux de diffusion de contenu JavaScript légitimes (CDN), utilisant des domaines tels que cdnjs[.] com et unpkg[.] com, pour échapper à la détection. De plus, le script effectue des vérifications pour des produits de sécurité spécifiques avant l’exécution.

Vérification des produits de sécurité

Le script est dynamique, ajustant constamment son comportement aux instructions du serveur de commande et de contrôle, envoyant des mises à jour et recevant des réponses spécifiques qui guident son activité sur le périphérique violé.

Il a plusieurs états opérationnels déterminés par un indicateur « mlink » défini par le serveur, y compris l’injection d’invites pour des numéros de téléphone ou des jetons OTP, l’affichage de messages d’erreur ou la simulation du chargement de pages, tous faisant partie de sa stratégie de vol de données.

Faux message d’erreur donnant aux attaquants le temps d’utiliser les données volées

IBM indique que neuf valeurs de variables « mlink » peuvent être combinées pour ordonner au script d’effectuer des actions d’exfiltration de données spécifiques et distinctes, de sorte qu’un ensemble diversifié de commandes est pris en charge.

Page conçue pour voler des OTP

Les chercheurs ont découvert des liens lâches entre cette nouvelle campagne et DanaBot, un cheval de Troie bancaire modulaire qui circule dans la nature depuis 2018 et qui a récemment été vu se propager via la publicité malveillante de recherche Google faisant la promotion de faux installateurs Cisco Webex.

Selon IBM, la campagne est toujours en cours, une vigilance accrue est donc conseillée lors de l’utilisation des portails et applications bancaires en ligne.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *