Malware JavaScript : plus de 50 000 utilisateurs de banques menacés dans le monde entier
Révélation déconcertante, une nouvelle souche de logiciel malveillant JavaScript s'est fixé pour objectif de compromettre les comptes bancaires en ligne, orchestrant une campagne de grande envergure qui a touché plus de 40 institutions financières dans le monde. Cette activité insidieuse, qui s'appuie sur des injections web JavaScript, a entraîné l'intrusion d'environ 50,000 d'utilisateurs infectés en Amérique du Nord, en Amérique du Sud, en Europe et au Japon.
Détection du logiciel malveillant JavaScript
IBM Security Trusteer, une entité de cybersécurité de premier plan, a détecté cette campagne malveillante en mars 2023. Selon le chercheur en sécurité Tal Langus, l'objectif principal des acteurs de la menace est de compromettre les applications bancaires les plus répandues. Une fois que le logiciel malveillant JavaScript s'infiltre dans une banque en ligne il vise à intercepter les informations d'identification des utilisateurs, puis à obtenir un accès non autorisé à leurs informations bancaires et à les exploiter potentiellement.
Chaînes d'attaque furtives
Le mécanisme d'attaque comprend des scripts chargés à partir d'un serveur contrôlé par l'acteur de la menace, spécifiquement identifié comme "jscdnpack[.]com". Ces scripts ciblent une structure de page commune utilisée par diverses banques, ce qui suggère une approche méticuleuse. La transmission du logiciel malveillant aux victimes potentielles peut se faire par le biais de courriels d'hameçonnage ou de publicités malveillantes, ce qui constitue une menace à multiples facettes pour la menaces de cybersécurité à multiples facettes.
Comportement dynamique des scripts
Le logiciel malveillant utilise des scripts obscurcis pour dissimuler son véritable objectif. Lorsqu'une victime visite le site web d'une banque, la page de connexion est modifiée par un JavaScript malveillant. Ce script est capable de collecter des informations d'identification et des mots de passe à usage unique (OTP) sans éveiller les soupçons. Il est important de noter que le comportement du logiciel malveillant est dynamique : il interroge en permanence le serveur de commande et de contrôle (C2) et la structure de la page en cours, et ajuste sa trajectoire en fonction des informations obtenues.
Cybermenaces bancaires mondiales
La réponse du serveur dicte les actions ultérieures du logiciel malveillant, ce qui lui permet d'effacer les traces des injections et d'introduire des éléments d'interface utilisateur trompeurs. Ces éléments peuvent inclure des invites à accepter des OTP, aidant ainsi les acteurs de la menace à contourner les mesures de sécurité. En outre, les logiciel malveillant bancaire peut afficher des messages d'erreur indiquant l'indisponibilité temporaire des services bancaires en ligne pendant 12 heures, ce qui dissuade les victimes de se connecter et ouvre une fenêtre pour l'accès non autorisé aux comptes.
Origines possibles et capacités avancées
Bien que l'origine exacte du logiciel malveillant reste inconnue, les indicateurs de compromission (IoC) suggèrent un lien potentiel avec la famille DanaBot, un voleur et chargeur connu. DanaBot a déjà été associé à des publicités malveillantes sur Google Search et a servi de vecteur d'accès initial pour des attaques de ransomware. La sophistication de cette menace réside dans ses capacités avancées, en particulier dans l'exécution d'attaques de type "man-in-the-browser" par le biais d'une communication dynamique et de méthodes d'injection web adaptables.
Violation de données financières
Cette attaques de codes malveillants se déroule dans un contexte d'escalade des fraudes financières. Sophos a récemment mis au jour un système impliquant un faux service d'extraction de liquidités, qui a rapporté aux acteurs de la menace près de 2,9 millions en crypto-monnaie auprès de 90 victimes. Ce stratagème, orchestré par trois groupes distincts, met en évidence un réseau plus vaste, potentiellement affilié à une seule organisation criminelle, peut-être basée en Chine.
Selon l'évaluation de la menace que représente la criminalité organisée sur Internet (IOCTA) d'Europol, la fraude à l'investissement et la compromission de la messagerie électronique des entreprises sont des phénomènes très répandus. compromission des courriels d'affaires (BEC) restent les systèmes de fraude en ligne les plus prolifiques. L'agence souligne la tendance préoccupante à combiner la fraude à l'investissement avec d'autres escroqueries, telles que les escroqueries à la romance, où les criminels établissent une relation de confiance avec les victimes avant de les convaincre d'investir dans des plateformes de crypto-monnaies frauduleuses. Par conséquent, la mise en œuvre de mesures de mesures de cybersécurité pour les transactions en ligne est cruciale pour sauvegarder les informations sensibles et se protéger contre les cybermenaces potentielles.
Des cybermenaces diversifiées
Au-delà des institutions financières, cybermenaces continuent de se diversifier. Group-IB, une société de cybersécurité, signale l'identification de 1 539 sites web de phishing usurpant l'identité d'opérateurs postaux et de sociétés de livraison depuis novembre 2023. Cette vaste campagne s'étend sur 53 pays, l'Allemagne, la Pologne, l'Espagne, le Royaume-Uni, la Turquie et Singapour étant les principales cibles.
Tactiques d'évasion et impact mondial
Ces tendances tendances cybercriminelles consistent à envoyer des messages SMS imitant des services postaux réputés, incitant les utilisateurs à visiter des sites web contrefaits et à divulguer des données personnelles et de paiement sous prétexte de livraisons urgentes ou d'échecs de livraison. L'opération utilise notamment diverses méthodes d'évasion, limitant l'accès en fonction des emplacements géographiques et des appareils et systèmes d'exploitation spécifiques. Les escrocs réduisent également la durée de vie des sites de phishing, augmentant ainsi leurs chances de ne pas être détectés.
Conclusion
Alors que le paysage des risques liés à la sécurité de l'internet l'accent sur la mise en œuvre de mesures de cybersécurité proactives. mesures de cybersécurité proactives est primordiale pour les organisations du monde entier. Face aux campagnes sophistiquées de logiciels malveillants JavaScript et aux cybermenaces diversifiées, stratégies de prévention des logiciels malveillants et l'application automatisée de correctifs sont des éléments essentiels pour protéger les systèmes et assurer la continuité des activités.
Restez en conformité et minimisez les temps d'arrêt dès maintenant !
Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.