Μια νέα εκστρατεία Web injections που εμφανίστηκε τον Μάρτιο του 2023, χρησιμοποίησε εισαγωγές JavaScript σε ιστοσελίδες για να προσπαθήσει να κλέψει τα τραπεζικά δεδομένα πάνω από 50.000 χρηστών από 40 τράπεζες στη Βόρεια Αμερική, τη Νότια Αμερική, την Ευρώπη και την Ιαπωνία.
Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware
Η ομάδα ασφαλείας της IBM ανακάλυψε αυτήν την απειλή και ανέφερε ότι η εκστρατεία ετοιμαζόταν από τουλάχιστον τον Δεκέμβριο του 2022, όταν αγοράστηκαν οι κακόβουλοι τομείς.
Οι επιθέσεις εκτυλίχθηκαν μέσω σεναρίων που φορτώθηκαν από τον διακινητή του επιτιθέμενου, επικεντρώνοντας σε μια συγκεκριμένη δομή σελίδας που είναι κοινή σε πολλές τράπεζες, με σκοπό την παρεμπόδιση των διαπιστευτηρίων χρήστη και των κωδικών πρόσβασης (OTPs).
Αποκτώντας τις παραπάνω πληροφορίες, οι επιτιθέμενοι μπορούν να συνδεθούν στον τραπεζικό λογαριασμό του θύματος, να τον αποκλείσουν αλλάζοντας τις ρυθμίσεις ασφαλείας και να πραγματοποιήσουν μη εξουσιοδοτημένες συναλλαγές.
Η επίθεση ξεκινά με την αρχική μόλυνση της συσκευής του θύματος από κακόβουλο λογισμικό. Η έκθεση της IBM δεν εμβαθύνει στις λεπτομέρειες αυτού του σταδίου, αλλά θα μπορούσε να γίνει μέσω κακόβουλης διαφήμισης, ψεύτικων μηνυμάτων ηλεκτρονικού ταχυδρομείου, κ.λπ.
Μόλις το θύμα επισκέπτεται τις πειρατικές ή κακόβουλες ιστοσελίδες των επιτιθέμενων, το κακόβουλο λογισμικό εισάγει ένα νέο σενάριο με ένα χαρακτηριστικό πηγής (‘src’) που δείχνει σε ένα εξωτερικά φιλοξενούμενο σενάριο.
Το κακόβουλο κρυπτογραφημένο σενάριο φορτώνεται στον περιηγητή του θύματος για να τροποποιήσει το περιεχόμενο της ιστοσελίδας, να καταγράψει τα διαπιστευτήρια σύνδεσης και να παρεμβάλει κωδικούς πρόσβασης OTP.
Η IBM αναφέρει ότι αυτό το επιπλέον βήμα είναι ασυνήθιστο, καθώς η πλειονότητα των κακόβουλων λογισμικών πραγματοποιεί ενσωμάτωση ιστοσελίδων απευθείας στην ιστοσελίδα.
Αυτή η νέα προσέγγιση καθιστά τις επιθέσεις πιο αόρατες, καθώς οι έλεγχοι στατικής ανάλυσης είναι απίθανο να εντοπίσουν το απλούστερο φορτωτικό script ως κακόβουλο, επιτρέποντας ταυτόχρονα τη δυναμική παράδοση περιεχομένου, επιτρέποντας στους επιτιθέμενους να μεταβούν σε νέα φορτία δεύτερης φάσης αν απαιτείται.
Δείτε ακόμα: Malware και ransomware εξακολουθούν να αποτελούν τις μεγαλύτερες απειλές στον κυβερνοχώρο
Αξίζει επίσης να σημειωθεί ότι το κακόβουλο σενάριο μοιάζει με νόμιμες υπηρεσίες παράδοσης περιεχομένου JavaScript (CDN), χρησιμοποιώντας τομείς όπως το cdnjs[.]com και το unpkg[.]com, για να αποφύγει την ανίχνευση. Επιπλέον, το σενάριο πραγματοποιεί ελέγχους για συγκεκριμένα προϊόντα ασφαλείας πριν από την εκτέλεσή του. Το σενάριο είναι δυναμικό, προσαρμόζοντας συνεχώς τη συμπεριφορά του σύμφωνα με τις οδηγίες του διακομιστή ελέγχου και επικοινωνώντας ενημερώσεις και λαμβάνοντας συγκεκριμένες απαντήσεις που καθοδηγούν την δραστηριότητά του στην παραβιασμένη συσκευή
.Πολλές λειτουργικές καταστάσεις που καθορίζονται από ένα σήμα “mlink” που ορίζει ο διακομιστής, συμπεριλαμβανομένης της εισαγωγής ερωτήσεων για αριθμούς τηλεφώνου ή τακτοποίησης OTP, της εμφάνισης μηνυμάτων σφάλματος ή της προσομοίωσης φόρτωσης σελίδων, είναι μέρος της στρατηγικής του για την κλοπή δεδομένων.
Σύμφωνα με την IBM, μπορούν να συνδυαστούν εννέα τιμές μεταβλητών “mlink” για να δοθεί εντολή στο σενάριο να εκτελέσει συγκεκριμένες ενέργειες αποθήκευσης δεδομένων, έτσι ώστε να υποστηρίζεται ένα ποικίλο σύνολο εντολών.
Οι ερευνητές ανακάλυψαν ασαφείς συνδέσεις μεταξύ αυτής της νέας εκστρατείας και του DanaBot, ενός ευέλικτου banking trojan που κυκλοφορεί από το 2018 και πρόσφατα παρατηρήθηκε να εξαπλώνεται μέσω ανεπιθύμητων διαφημίσεων Google Search που προωθούν ψεύτικους εγκαταστάτες Cisco Webex.
Σύμφωνα με την IBM, η καμπάνια είναι ακόμα σε εξέλιξη, επομένως συνιστάται ενίσχυση της επαγρύπνησης κατά τη χρήση των διαδικτυακών τραπεζικών πυλών και εφαρμογών.
Δείτε επίσης: Raspberry Pi: Χρησιμοποιεί ηλεκτρομαγνητικά κύματα για να ανιχνεύσει malware
Τρόποι προστασίας
Μια από τις πιο αποτελεσματικές τεχνικές είναι η χρήση ενός ενημερωμένου λογισμικού ασφαλείας που μπορεί να αναγνωρίσει και να απομακρύνει την web injection malware. Το λογισμικό αυτό πρέπει να είναι σε θέση να παρακολουθεί τακτικά το σύστημά σας για τυχόν επιθέσεις και να τις αντιμετωπίζει αμέσως.
Επίσης, η εκπαίδευση των χρηστών σχετικά με την ασφάλεια στο διαδίκτυο μπορεί να είναι πολύ χρήσιμη. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι και πώς να αναγνωρίσουν τα σημάδια μιας επίθεσης web injection.
Η χρήση ενός συστήματος διαχείρισης περιεχομένου (CMS) που ενημερώνεται τακτικά και διαθέτει ενσωματωμένες λειτουργίες ασφαλείας μπορεί να βοηθήσει στην προστασία από τις επιθέσεις web injection.
Τέλος, η χρήση τεχνικών όπως η επικύρωση εισόδου και η εξασφάλιση της επικοινωνίας μεταξύ του διακομιστή και του πελάτη μέσω HTTPS μπορεί να αποτρέψει την εκτέλεση κακόβουλου κώδικα στον υπολογιστή του χρήστη.
Πηγή: bleepingcomputer