JavaScript-Malware: Mehr als 50.000 Banknutzer weltweit gefährdet
Eine beunruhigende Enthüllung: Ein neu identifizierter Stamm von JavaScript-Malware hat es auf Online-Banking-Konten abgesehen und eine breit angelegte Kampagne inszeniert, die weltweit über 40 Finanzinstitute betrifft. Diese heimtückische Aktivität, bei der JavaScript-Webinjektionen genutzt werden, hat zu schätzungsweise 50,000 infizierte Benutzersitzungen in Nordamerika, Südamerika, Europa und Japan.
Erkennung der JavaScript-Malware
IBM Security Trusteer, ein führendes Cybersicherheitsunternehmen, entdeckte diese bösartige Kampagne im März 2023. Laut dem Sicherheitsforscher Tal Langus besteht das Hauptziel der Bedrohungsakteure darin, beliebte Bankanwendungen zu kompromittieren. Sobald die JavaScript-Schadprogramm infiltriert eine Onlinebanking Sobald die JavaScript-Malware in ein Online-Banking-Sicherheitssystem eingedrungen ist, zielt sie darauf ab, die Anmeldedaten der Benutzer abzufangen, um anschließend unbefugten Zugriff auf deren Bankdaten zu erhalten und diese möglicherweise auszunutzen.
Tarnkappen-Angriffsketten
Der Angriffsmechanismus umfasst Skripte, die von einem von den Bedrohungsakteuren kontrollierten Server geladen werden, der als "jscdnpack[.]com" identifiziert wurde. Diese Skripte zielen auf eine gemeinsame Seitenstruktur ab, die von verschiedenen Banken verwendet wird, was auf eine sorgfältige Vorgehensweise schließen lässt. Die Verbreitung der Malware an potenzielle Opfer kann über Phishing-E-Mails oder Malvertising erfolgen und stellt eine vielschichtige Cybersicherheitsbedrohungen.
Dynamisches Skript-Verhalten
Die Malware verwendet verschleierte Skripte, um ihren wahren Zweck zu verschleiern. Wenn ein Opfer eine Bank-Website besucht, wird die Anmeldeseite mit bösartigem JavaScript verändert. Dieses Skript ist in der Lage, Anmeldedaten und Einmal-Passwörter (OTPs) abzufangen, ohne Verdacht zu erregen. Wichtig ist, dass das Verhalten der Malware dynamisch ist und sowohl den Command-and-Control-Server (C2) als auch die aktuelle Seitenstruktur kontinuierlich abfragt und seinen Kurs auf der Grundlage der gewonnenen Informationen anpasst.
Globale Cyber-Bedrohungen für Banken
Die Antwort des Servers diktiert die nachfolgenden Aktionen der Malware und ermöglicht es ihr, Spuren von Injektionen zu verwischen und trügerische Elemente der Benutzeroberfläche einzuführen. Zu diesen Elementen können Aufforderungen zur Annahme von OTPs gehören, die den Bedrohungsakteuren helfen, Sicherheitsmaßnahmen zu umgehen. Außerdem kann die Banking-Malware Fehlermeldungen anzeigen, die darauf hinweisen, dass Online-Banking-Dienste 12 Stunden lang vorübergehend nicht verfügbar sind, was die Opfer davon abhält, sich einzuloggen, und ein Fenster für den unbefugten Zugriff auf das Konto bietet.
Mögliche Ursprünge und fortgeschrittene Fähigkeiten
Obwohl der genaue Ursprung der Malware unbekannt ist, deuten die Indikatoren der Kompromittierung (IoCs) auf eine mögliche Verbindung zur DanaBot-Familie hin, einem bekannten Stealer und Loader. DanaBot wurde bereits mit bösartigen Anzeigen in der Google-Suche in Verbindung gebracht und diente als erster Zugangsvektor für Ransomware-Angriffe. Die Raffinesse dieser Bedrohung liegt in ihren fortschrittlichen Fähigkeiten, insbesondere in der Ausführung von Man-in-the-Browser-Angriffen durch dynamische Kommunikation und anpassungsfähige Webinjektionsmethoden.
Verletzung von Finanzdaten
Diese Angriffe mit bösartigem Code Kampagne findet vor dem Hintergrund eines eskalierenden Finanzbetrugs statt. Sophos hat vor kurzem einen Betrug mit einem gefälschten Liquidity Mining Service aufgedeckt, bei dem Bedrohungsakteure fast 2,9 Millionen Dollar in Kryptowährung von 90 Opfern. Der Betrug, der von drei verschiedenen Bedrohungsgruppen inszeniert wurde, deutet auf ein größeres Netzwerk hin, das möglicherweise mit einem einzigen organisierten Verbrecherring verbunden ist, der möglicherweise in China ansässig ist.
Laut der Europol-Bewertung der Bedrohungen durch die organisierte Kriminalität im Internet (IOCTA) sind Anlagebetrug und Kompromittierung von Geschäfts-E-Mails (BEC)-Betrug nach wie vor die am weitesten verbreiteten Online-Betrugsmethoden. Die Agentur hebt den besorgniserregenden Trend hervor, Anlagebetrug mit anderen Betrügereien zu kombinieren, wie z. B. Romantikbetrug, bei dem Kriminelle Vertrauen zu den Opfern aufbauen, bevor sie sie überzeugen, in betrügerische Kryptowährungsplattformen zu investieren. Daher ist die Umsetzung starker Cybersicherheitsmaßnahmen für Online-Transaktionen von entscheidender Bedeutung, um sensible Informationen zu schützen und vor potenziellen Cyber-Bedrohungen zu bewahren.
Vielfältige Cyber-Bedrohungen
Über Finanzinstitute hinaus, Cyber-Bedrohungen weiter zu diversifizieren. Group-IB, ein Cybersicherheitsunternehmen, berichtet, dass seit November 2023 1.539 Phishing-Websites identifiziert wurden, die sich als Postbetreiber und Zustelldienste ausgeben. Diese umfangreiche Kampagne erstreckt sich über 53 Länder, wobei Deutschland, Polen, Spanien, das Vereinigte Königreich, die Türkei und Singapur die Hauptziele sind.
Ausweichtaktiken und globale Auswirkungen
Diese Trends der Internetkriminalität beinhalten das Versenden von SMS-Nachrichten, die seriöse Postdienste imitieren und die Nutzer dazu bringen, gefälschte Websites zu besuchen und unter dem Vorwand dringender oder fehlgeschlagener Lieferungen persönliche Daten und Zahlungsinformationen preiszugeben. Dabei kommen verschiedene Umgehungsmethoden zum Einsatz, die den Zugriff auf geografische Standorte, bestimmte Geräte und Betriebssysteme beschränken. Die Betrüger minimieren auch die Lebensdauer der Phishing-Websites und erhöhen so ihre Chancen, unentdeckt zu bleiben.
Schlussfolgerung
Da die Landschaft der Internet-Sicherheitsrisiken entwickelt sich die Landschaft der Internet-Sicherheitsrisiken weiter und der Schwerpunkt liegt auf der Umsetzung proaktiven Cybersicherheitsmaßnahmen ist für Unternehmen weltweit von größter Bedeutung. Angesichts ausgefeilter JavaScript-Malware-Kampagnen und vielfältiger Cyber-Bedrohungen, Strategien zur Malware-Prävention und automatisiertes Patchen als entscheidende Komponenten für den Schutz der Systeme und die Gewährleistung der Geschäftskontinuität.
Bleiben Sie jetzt konform und minimieren Sie Ausfallzeiten!
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Bleeping Computer.