IBM lancia l'allarme su una campagna malware che prende di mira le credenziali di servizi bancari
E' una campagna ancora attiva e in funzione da marzo 2023: usa una tecnica insolita per consentire un'operatività sottotraccia
di Andrea Bai pubblicata il 22 Dicembre 2023, alle 16:01 nel canale SicurezzaI ricercatori di sicurezza di IBM hanno rilevato l'esistenza di una nuova campagna malware che ha sottratto i dati bancari di oltre 50 mila utenti di 40 istituti finanziari in Nord America, Sud America, Europa e Giappone. La campagna ha preso il via a marzo del 2023, ma gli attori di minaccia hanno iniziato a prepararsi dal dicembre del 2022 registrando i domini utilizzati per veicolare l'attacco.
La tecnica principale su cui si basa questa campagna è il caricamento di script dannosi direttamente dai server di comando e controllo degli attaccanti, prendendo di mira una struttura di pagina web comune a molti istituti bancari, così da riuscire ad intercettare le credenziali dell'utente e i codici monouso per i sistemi di autenticazione a due fattori. Gli attori di minaccia riescono così ad accedere agli account delle vittime e modificare le impostazioni di sicurezza per, infine, eseguire transazioni non autorizzate.
Il primo passo dell'attacco è l'infezione di malware sul dispositivo della vittima con usuali tecniche di malvertising o phishing. Quando la vittima visita poi un sito compromesso o controllato dagli attori di minaccia il malware inietta nelle pagine web un tag script che punta ad uno script esterno ospitato su sistemi controllato dagli attaccanti. Lo script viene a questo punto caricato nel browser della vittima, consentendo di modificare i contenuti visualizzati, sottrarre le credenziali di accesso ai servizi bancari online e intercettare gli SMS contenenti i codici monouso (one-time password).
Secondo IBM, questa tecnica di iniezione indiretta risulta insolita e subdola, in quanto consente di eludere più facilmente l'analisi statica grazie all'utilizzo di uno script di caricamento neutro, pur permettendo la consegna dinamica di payload dannosi da parte del server di comando e controllo. A ciò si aggiunge il fatto che questi script sono mascherati da JavaScript CDN legittimi, rendendo ancor più difficile il rilevamento automatizzato della minaccia. E come se tutto ciò non bastasse, lo script si occupa inoltre di controllare l'eventuale presenza di soluzioni di sicurezza.
Lo script opera in maniera dinamica a seconda delle istruzioni
che gli vengono impartite dal server di comando e controllo, aggiornandolo
inoltre sul quello che accade sul dispositivo compromesso. Lo script può
assumere diversi stati operativi tramite un flag "mlink" che prevede nove
valori diversi che possono anche essere combinati così da ordinare
l'esecuzione di varie azioni simultanee.
I ricercatori IBM hanno individuato dei legami tra questa campagna e il
più noto trojan bancario DanaBot in circolazione dal 2018 e che
recentemente è stato diffuso tramite malvertising su Google Search
promuovendo finti installer di Cisco Webex.
Stando alle analisi di IBM, questa minaccia risulta tuttora attiva e richiede quindi una vigile attenzione durante l'utilizzo di applicazioni e portali di mobile e online banking.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoUsando un generatore fisico di OTP (detto anche token tastiera), si dovrebbe essere (relativamente) tranquilli.
O no?
.
O no?
.
io me lo tengo ben stretto il mio token non credo comunque sia possibile intercettare tale codice
Con quale banca?
Non avevano costretto gli utenti a consegnarlo entro una certa data?
webank, comunque non me l’hanno mai chiesta indietro
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".