IBM lancia l'allarme su una campagna malware che prende di mira le credenziali di servizi bancari

IBM lancia l'allarme su una campagna malware che prende di mira le credenziali di servizi bancari

E' una campagna ancora attiva e in funzione da marzo 2023: usa una tecnica insolita per consentire un'operatività sottotraccia

di pubblicata il , alle 16:01 nel canale Sicurezza
 

I ricercatori di sicurezza di IBM hanno rilevato l'esistenza di una nuova campagna malware che ha sottratto i dati bancari di oltre 50 mila utenti di 40 istituti finanziari in Nord America, Sud America, Europa e Giappone. La campagna ha preso il via a marzo del 2023, ma gli attori di minaccia hanno iniziato a prepararsi dal dicembre del 2022 registrando i domini utilizzati per veicolare l'attacco.

La tecnica principale su cui si basa questa campagna è il caricamento di script dannosi direttamente dai server di comando e controllo degli attaccanti, prendendo di mira una struttura di pagina web comune a molti istituti bancari, così da riuscire ad intercettare le credenziali dell'utente e i codici monouso per i sistemi di autenticazione a due fattori. Gli attori di minaccia riescono così ad accedere agli account delle vittime e modificare le impostazioni di sicurezza per, infine, eseguire transazioni non autorizzate.

Il primo passo dell'attacco è l'infezione di malware sul dispositivo della vittima con usuali tecniche di malvertising o phishing. Quando la vittima visita poi un sito compromesso o controllato dagli attori di minaccia il malware inietta nelle pagine web un tag script che punta ad uno script esterno ospitato su sistemi controllato dagli attaccanti. Lo script viene a questo punto caricato nel browser della vittima, consentendo di modificare i contenuti visualizzati, sottrarre le credenziali di accesso ai servizi bancari online e intercettare gli SMS contenenti i codici monouso (one-time password).

Secondo IBM, questa tecnica di iniezione indiretta risulta insolita e subdola, in quanto consente di eludere più facilmente l'analisi statica grazie all'utilizzo di uno script di caricamento neutro, pur permettendo la consegna dinamica di payload dannosi da parte del server di comando e controllo. A ciò si aggiunge il fatto che questi script sono mascherati da JavaScript CDN legittimi, rendendo ancor più difficile il rilevamento automatizzato della minaccia. E come se tutto ciò non bastasse, lo script si occupa inoltre di controllare l'eventuale presenza di soluzioni di sicurezza.

Lo script opera in maniera dinamica a seconda delle istruzioni che gli vengono impartite dal server di comando e controllo, aggiornandolo inoltre sul quello che accade sul dispositivo compromesso. Lo script può assumere diversi stati operativi tramite un flag "mlink" che prevede nove valori diversi che possono anche essere combinati così da ordinare l'esecuzione di varie azioni simultanee.

I ricercatori IBM hanno individuato dei legami tra questa campagna e il più noto trojan bancario DanaBot in circolazione dal 2018 e che recentemente è stato diffuso tramite malvertising su Google Search promuovendo finti installer di Cisco Webex.

Stando alle analisi di IBM, questa minaccia risulta tuttora attiva e richiede quindi una vigile attenzione durante l'utilizzo di applicazioni e portali di mobile e online banking.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
danylo23 Dicembre 2023, 10:43 #1
ntercettare gli SMS contenenti i codici monouso

Usando un generatore fisico di OTP (detto anche token tastiera), si dovrebbe essere (relativamente) tranquilli.
O no?


.
TorettoMilano23 Dicembre 2023, 11:24 #2
Originariamente inviato da: danylo
Usando un generatore fisico di OTP (detto anche token tastiera), si dovrebbe essere (relativamente) tranquilli.
O no?


.


io me lo tengo ben stretto il mio token non credo comunque sia possibile intercettare tale codice
giovanni6926 Dicembre 2023, 00:27 #3

Con quale banca?

Originariamente inviato da: TorettoMilano
io me lo tengo ben stretto il mio token non credo comunque sia possibile intercettare tale codice


Non avevano costretto gli utenti a consegnarlo entro una certa data?
TorettoMilano26 Dicembre 2023, 06:25 #4
Originariamente inviato da: giovanni69
Non avevano costretto gli utenti a consegnarlo entro una certa data?


webank, comunque non me l’hanno mai chiesta indietro

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^