ClickCease Malware JavaScript: más de 50.000 usuarios bancarios en peligro en todo el mundo

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Malware JavaScript: más de 50.000 usuarios bancarios en peligro en todo el mundo

Wajahat Raja

5 de enero de 2024 - Equipo de expertos TuxCare

En una revelación desconcertante, una cepa recién identificada de malware JavaScript ha puesto sus miras en comprometer cuentas bancarias en línea, orquestando una campaña generalizada que afecta a más de 40 instituciones financieras en todo el mundo. Esta insidiosa actividad, que aprovecha las inyecciones web de JavaScript, ha provocado unos 50,000 sesiones de usuario infectadas en Norteamérica, Sudamérica, Europa y Japón.


Detección del malware JavaScript


IBM Security Trusteer, una entidad líder en ciberseguridad, detectó esta campaña maliciosa en marzo de 2023. Según el investigador de seguridad Tal Langus, el objetivo principal de los actores de la amenaza es comprometer aplicaciones bancarias populares. Una vez que el
malware JavaScript se infiltra en una banca en línea Una vez que el malware JavaScript se infiltra en un sistema de seguridad de banca en línea, su objetivo es interceptar las credenciales de los usuarios y, posteriormente, obtener acceso no autorizado y explotar potencialmente su información bancaria.


Cadenas de ataque sigiloso


El mecanismo de ataque consiste en scripts cargados desde un servidor controlado por el actor de la amenaza, identificado específicamente como "jscdnpack[.]com". Estos scripts se dirigen a una estructura de página común utilizada por varios bancos, lo que sugiere un enfoque meticuloso. La entrega del malware a las víctimas potenciales puede producirse a través de correos electrónicos de phishing o de publicidad maliciosa, lo que plantea polifacéticas
amenazas de ciberseguridad.


Comportamiento dinámico de los scripts


El malware emplea scripts ofuscados para ocultar su verdadero propósito. Cuando una víctima visita el sitio web de un banco, la página de inicio de sesión sufre alteraciones con JavaScript malicioso. Este script es experto en recopilar credenciales y contraseñas de un solo uso (OTP) sin levantar sospechas. Y lo que es más importante, el comportamiento del malware es dinámico, ya que consulta continuamente tanto el servidor de mando y control (C2) como la estructura actual de la página, ajustando su curso en función de la información adquirida.


Ciberamenazas para la banca mundial


La respuesta del servidor dicta las acciones posteriores del malware, permitiéndole borrar rastros de inyecciones e introducir elementos engañosos en la interfaz de usuario. Estos elementos pueden incluir peticiones para aceptar OTPs, ayudando a los actores de la amenaza a eludir las medidas de seguridad. Además, el
malware bancario puede mostrar mensajes de error indicando la indisponibilidad temporal de los servicios bancarios en línea durante 12 horas, disuadiendo a las víctimas de iniciar sesión y proporcionando una ventana para el acceso no autorizado a la cuenta.


Posibles orígenes y capacidades avanzadas


Aunque se desconoce el origen exacto del malware, los indicadores de compromiso (IoC) sugieren una posible conexión con la familia DanaBot, un conocido ladrón y cargador. DanaBot se ha asociado anteriormente con anuncios maliciosos en Google Search y ha servido como vector de acceso inicial para ataques de ransomware. La sofisticación de esta amenaza radica en sus capacidades avanzadas, especialmente en la ejecución de ataques man-in-the-browser a través de comunicación dinámica y métodos de inyección web adaptables.


Filtración de datos financieros


Este
ataques de código malicioso se desarrolla en un contexto de intensificación de los fraudes financieros. Sophos desveló recientemente una trama relacionada con un falso servicio de extracción de liquidez, que reportó a los autores de la amenaza casi 2,9 millones de dólares. 2,9 millones de dólares en criptomoneda de 90 víctimas. El esquema, orquestado por tres grupos de actividades de amenazas separadas, apunta a una red más amplia potencialmente afiliada a una sola red de delincuencia organizada, posiblemente con sede en China.

 

Según la Evaluación de la Amenaza de la Delincuencia Organizada en Internet (IOCTA) de Europol, el fraude en las inversiones y la correo electrónico comercial (BEC) siguen siendo las estafas en línea más prolíficas. La agencia destaca la preocupante tendencia a combinar el fraude de inversión con otras estafas, como las románticas, en las que los delincuentes generan confianza con las víctimas antes de convencerlas de que inviertan en plataformas fraudulentas de criptomonedas. Por lo tanto, la aplicación de fuertes medidas de ciberseguridad para las transacciones en línea es crucial para salvaguardar la información sensible y protegerse frente a posibles ciberamenazas.


Ciberamenazas diversificadas


Más allá de las entidades financieras,
ciberamenazas siguen diversificándose. Group-IB, una empresa de ciberseguridad, informa de la identificación de 1.539 sitios web de phishing que suplantan la identidad de operadores postales y empresas de reparto desde noviembre de 2023. Esta amplia campaña abarca 53 países, siendo Alemania, Polonia, España, Reino Unido, Turquía y Singapur los principales objetivos.


Tácticas evasivas e impacto global


Estas
tendencias de la ciberdelincuencia consisten en el envío de mensajes SMS que imitan a los servicios postales de confianza, incitando a los usuarios a visitar sitios web falsificados y a divulgar datos personales y de pago bajo el pretexto de entregas urgentes o fallidas. En particular, la operación emplea varios métodos de evasión, restringiendo el acceso en función de la ubicación geográfica y de dispositivos y sistemas operativos específicos. Los estafadores también minimizan la vida útil de los sitios web de phishing, lo que aumenta sus posibilidades de pasar desapercibidos.


Conclusión


A medida que el panorama de
riesgos de seguridad en internet evoluciona, hay que hacer hincapié en la aplicación de medidas proactivas de ciberseguridad es primordial para las organizaciones de todo el mundo. Frente a las sofisticadas campañas de malware JavaScript y las diversas amenazas cibernéticas, las estrategias de prevención de malware y la aplicación automatizada de parches actúan como componentes cruciales para salvaguardar los sistemas y garantizar la continuidad del negocio.

 

Cumpla la normativa y minimice el tiempo de inactividad.

Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.

Resumen
Malware JavaScript: más de 50.000 usuarios bancarios en peligro en todo el mundo
Nombre del artículo
Malware JavaScript: más de 50.000 usuarios bancarios en peligro en todo el mundo
Descripción
Descubra la última amenaza: malware JavaScript dirigido a más de 50.000 usuarios de bancos de todo el mundo. Manténgase informado y proteja sus cuentas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín