Malware JavaScript: más de 50.000 usuarios bancarios en peligro en todo el mundo

En una revelación desconcertante, una cepa recién identificada de malware JavaScript ha puesto sus miras en comprometer cuentas bancarias en línea, orquestando una campaña generalizada que afecta a más de 40 instituciones financieras en todo el mundo. Esta insidiosa actividad, que aprovecha las inyecciones web de JavaScript, ha provocado unos 50,000 sesiones de usuario infectadas en Norteamérica, Sudamérica, Europa y Japón.

Detección del malware JavaScript

IBM Security Trusteer, una entidad líder en ciberseguridad, detectó esta campaña maliciosa en marzo de 2023. Según el investigador de seguridad Tal Langus, el objetivo principal de los actores de la amenaza es comprometer aplicaciones bancarias populares. Una vez que el malware JavaScript se infiltra en una banca en línea Una vez que el malware JavaScript se infiltra en un sistema de seguridad de banca en línea, su objetivo es interceptar las credenciales de los usuarios y, posteriormente, obtener acceso no autorizado y explotar potencialmente su información bancaria.

Cadenas de ataque sigiloso

El mecanismo de ataque consiste en scripts cargados desde un servidor controlado por el actor de la amenaza, identificado específicamente como "jscdnpack[.]com". Estos scripts se dirigen a una estructura de página común utilizada por varios bancos, lo que sugiere un enfoque meticuloso. La entrega del malware a las víctimas potenciales puede producirse a través de correos electrónicos de phishing o de publicidad maliciosa, lo que plantea polifacéticas amenazas de ciberseguridad.

Comportamiento dinámico de los scripts

El malware emplea scripts ofuscados para ocultar su verdadero propósito. Cuando una víctima visita el sitio web de un banco, la página de inicio de sesión sufre alteraciones con JavaScript malicioso. Este script es experto en recopilar credenciales y contraseñas de un solo uso (OTP) sin levantar sospechas. Y lo que es más importante, el comportamiento del malware es dinámico, ya que consulta continuamente tanto el servidor de mando y control (C2) como la estructura actual de la página, ajustando su curso en función de la información adquirida.

Ciberamenazas para la banca mundial

La respuesta del servidor dicta las acciones posteriores del malware, permitiéndole borrar rastros de inyecciones e introducir elementos engañosos en la interfaz de usuario. Estos elementos pueden incluir peticiones para aceptar OTPs, ayudando a los actores de la amenaza a eludir las medidas de seguridad. Además, el malware bancario puede mostrar mensajes de error indicando la indisponibilidad temporal de los servicios bancarios en línea durante 12 horas, disuadiendo a las víctimas de iniciar sesión y proporcionando una ventana para el acceso no autorizado a la cuenta.

Posibles orígenes y capacidades avanzadas

Aunque se desconoce el origen exacto del malware, los indicadores de compromiso (IoC) sugieren una posible conexión con la familia DanaBot, un conocido ladrón y cargador. DanaBot se ha asociado anteriormente con anuncios maliciosos en Google Search y ha servido como vector de acceso inicial para ataques de ransomware. La sofisticación de esta amenaza radica en sus capacidades avanzadas, especialmente en la ejecución de ataques man-in-the-browser a través de comunicación dinámica y métodos de inyección web adaptables.

Filtración de datos financieros

Este ataques de código malicioso se desarrolla en un contexto de intensificación de los fraudes financieros. Sophos desveló recientemente un fraude de criptomoneda relacionado con un falso servicio de minería de liquidez, que reportó a los autores de la amenaza casi 2,9 millones de dólares. 2,9 millones de dólares en criptomoneda de 90 víctimas. El esquema, orquestado por tres grupos de actividad de amenazas separadas, apunta a una red más amplia potencialmente afiliada a un solo anillo de crimen organizado, posiblemente con sede en China.

Según la Evaluación de la Amenaza de la Delincuencia Organizada en Internet (IOCTA) de Europol, el fraude en las inversiones y la correo electrónico comercial (BEC) siguen siendo las estafas en línea más prolíficas. La agencia destaca la preocupante tendencia a combinar el fraude de inversión con otras estafas, como las románticas, en las que los delincuentes generan confianza en las víctimas antes de convencerlas de que inviertan en plataformas fraudulentas de criptomonedas. Por lo tanto, la aplicación de fuertes medidas de ciberseguridad para las transacciones en línea es crucial para salvaguardar la información sensible y protegerse frente a posibles ciberamenazas.

Ciberamenazas diversificadas

Más allá de las entidades financieras, ciberamenazas siguen diversificándose. Group-IB, una empresa de ciberseguridad, informa de la identificación de 1.539 sitios web de phishing que suplantan la identidad de operadores postales y empresas de reparto desde noviembre de 2023. Esta amplia campaña abarca 53 países, siendo Alemania, Polonia, España, Reino Unido, Turquía y Singapur los principales objetivos.

Tácticas evasivas e impacto global

Estas tendencias de la ciberdelincuencia consisten en el envío de mensajes SMS que imitan a servicios postales de confianza, incitando a los usuarios a visitar sitios web falsificados y a divulgar datos personales y de pago bajo el pretexto de entregas urgentes o fallidas. En particular, la operación emplea varios métodos de evasión, restringiendo el acceso en función de la ubicación geográfica y de dispositivos y sistemas operativos específicos. Los estafadores también minimizan la vida útil de los sitios web de phishing, lo que aumenta sus posibilidades de pasar desapercibidos.

Conclusión

A medida que el panorama de riesgos de seguridad en internet evoluciona, hay que hacer hincapié en la aplicación de medidas proactivas de ciberseguridad es primordial para las organizaciones de todo el mundo. Frente a las sofisticadas campañas de malware JavaScript y las diversas amenazas cibernéticas, las estrategias de prevención de malware y la aplicación automatizada de parches actúan como componentes cruciales para salvaguardar los sistemas y garantizar la continuidad del negocio.

Cumpla la normativa y minimice el tiempo de inactividad.

Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.

Resumen

Nombre del artículo

Malware JavaScript: más de 50.000 usuarios bancarios en peligro en todo el mundo

Descripción

Descubra la última amenaza: malware JavaScript dirigido a más de 50.000 usuarios de bancos de todo el mundo. Manténgase informado y proteja sus cuentas.

Autor

Wajahat Raja

Nombre del editor

TuxCare

Logotipo de la editorial