Была замечена новая вредоносная программа JavaScript, пытающаяся украсть учетные данные пользователей онлайн-банковских аккаунтов в рамках кампании, которая была нацелена на более чем 40 финансовых учреждений по всему миру.
По оценкам, activity cluster, использующий веб-инъекции JavaScript, привел по меньшей мере к 50 000 сеансам заражения пользователей в Северной Америке, Южной Америке, Европе и Японии.
IBM Security Trusteer заявила, что обнаружила кампанию в марте 2023 года.
"Намерение злоумышленников с помощью модуля веб-внедрения, вероятно, скомпрометирует популярные банковские приложения, а после установки вредоносного ПО перехватит учетные данные пользователей, чтобы затем получить доступ к их банковской информации и, вероятно, монетизировать ее", - сказал исследователь безопасности Тал Лангус.
Цепочки атак характеризуются использованием скриптов, загружаемых с сервера, контролируемого субъектом угрозы ("jscdnpack [.] com"), специально нацеленных на структуру страниц, общую для нескольких банков. Есть подозрение, что вредоносное ПО доставляется злоумышленникам каким-либо другим способом, например, с помощью фишинговых электронных писем или вредоносной рекламы.
Когда жертва посещает веб-сайт банка, страница входа в систему изменяется, чтобы включить вредоносный JavaScript, способный собирать учетные данные и одноразовые пароли (OTP). Скрипт запутан, чтобы скрыть его истинное назначение.
"Эта веб-инъекция не нацелена на банки с разными страницами входа в систему, но она отправляет данные о зараженной машине на сервер и может быть легко изменена для нацеливания на другие банки", - сказал Лангус.
"Поведение скрипта очень динамично, он постоянно запрашивает как сервер командования и управления (C2), так и текущую структуру страницы и корректирует ее поток на основе полученной информации".
Ответ сервера определяет его следующий план действий, позволяя ему стереть следы инъекций и вставить мошеннические элементы пользовательского интерфейса для приема OTP в обход средств защиты, а также выдавать сообщение об ошибке, в котором говорится, что услуги онлайн-банкинга будут недоступны в течение 12 часов.
IBM заявила, что это попытка отговорить жертв от входа в свои учетные записи, предоставляя субъектам угрозы возможность перехватить контроль над учетными записями и выполнять несанкционированные действия.
Хотя точное происхождение вредоносного ПО в настоящее время неизвестно, индикаторы компрометации (IOCs) предполагают возможную связь с известным семейством воров и загрузчиков, известных как DanaBot, которые распространялись через вредоносную рекламу в поиске Google и служили первоначальным источником доступа для программ-вымогателей.
"Эта сложная угроза демонстрирует расширенные возможности, особенно при выполнении атак "человек в браузере" благодаря динамической связи, методам веб-внедрения и способности адаптироваться на основе инструкций сервера и текущего состояния страницы", - сказал Лангус.
Разработка происходит по мере того, как Sophos проливает больше света на схему забоя свиней, в рамках которой потенциальных жертв заманивают инвестировать в поддельный сервис майнинга ликвидности, раскрывая более широкий набор мошенничеств, которые принесли участникам в этом году криптовалюты на сумму около 2,9 миллиона долларов по состоянию на 15 ноября от 90 жертв.
"Похоже, что они управлялись тремя отдельными группами злоумышленников, использующими идентичные мошеннические сайты приложений для децентрализованного финансирования ("DeFi"), что позволяет предположить, что они являются частью или аффилированы с одной [китайской] организованной преступной группировкой", - сказал исследователь безопасности Шон Галлахер.
Согласно данным, которыми поделился Европол ранее на этой неделе, мошенничество с инвестициями и компрометацией деловой электронной почты (BEC) остаются наиболее распространенными схемами онлайн-мошенничества.
"Тревожной угрозой, связанной с инвестиционным мошенничеством, является его использование в сочетании с другими схемами мошенничества против тех же жертв", - заявило агентство.
"Инвестиционное мошенничество иногда связано с любовными аферами: преступники медленно выстраивают доверительные отношения с жертвой, а затем убеждают ее инвестировать свои сбережения в мошеннические платформы для торговли криптовалютами, что приводит к большим финансовым потерям".
В связи с этим компания по кибербезопасности Group-IB заявила, что с начала ноября 2023 года выявила 1539 фишинговых веб-сайтов, выдающих себя за почтовых операторов и компании доставки. Подозревается, что оно создано для одной мошеннической кампании.
В ходе этих атак пользователям отправляются SMS-сообщения, имитирующие известные почтовые службы, и предлагается посетить поддельные веб-сайты для ввода своих личных и платежных реквизитов, ссылаясь на срочную или неудачную доставку.
Операция также примечательна тем, что включает в себя различные методы уклонения, позволяющие оставаться незамеченной. Это включает ограничение доступа к мошенническим веб-сайтам в зависимости от географического местоположения, обеспечение того, чтобы они работали только на определенных устройствах и операционных системах, а также сокращение срока их действия.
"Кампания затрагивает почтовые бренды в 53 странах", - заявили в Group-IB. "Большинство обнаруженных фишинговых страниц нацелены на пользователей в Германии (17,5%), Польше (13,7%), Испании (12,5%), Великобритании (4,2%), Турции (3,4%) и Сингапуре (3,1%)".
По оценкам, activity cluster, использующий веб-инъекции JavaScript, привел по меньшей мере к 50 000 сеансам заражения пользователей в Северной Америке, Южной Америке, Европе и Японии.
IBM Security Trusteer заявила, что обнаружила кампанию в марте 2023 года.
"Намерение злоумышленников с помощью модуля веб-внедрения, вероятно, скомпрометирует популярные банковские приложения, а после установки вредоносного ПО перехватит учетные данные пользователей, чтобы затем получить доступ к их банковской информации и, вероятно, монетизировать ее", - сказал исследователь безопасности Тал Лангус.
Цепочки атак характеризуются использованием скриптов, загружаемых с сервера, контролируемого субъектом угрозы ("jscdnpack [.] com"), специально нацеленных на структуру страниц, общую для нескольких банков. Есть подозрение, что вредоносное ПО доставляется злоумышленникам каким-либо другим способом, например, с помощью фишинговых электронных писем или вредоносной рекламы.
Когда жертва посещает веб-сайт банка, страница входа в систему изменяется, чтобы включить вредоносный JavaScript, способный собирать учетные данные и одноразовые пароли (OTP). Скрипт запутан, чтобы скрыть его истинное назначение.
"Эта веб-инъекция не нацелена на банки с разными страницами входа в систему, но она отправляет данные о зараженной машине на сервер и может быть легко изменена для нацеливания на другие банки", - сказал Лангус.
"Поведение скрипта очень динамично, он постоянно запрашивает как сервер командования и управления (C2), так и текущую структуру страницы и корректирует ее поток на основе полученной информации".
Ответ сервера определяет его следующий план действий, позволяя ему стереть следы инъекций и вставить мошеннические элементы пользовательского интерфейса для приема OTP в обход средств защиты, а также выдавать сообщение об ошибке, в котором говорится, что услуги онлайн-банкинга будут недоступны в течение 12 часов.
IBM заявила, что это попытка отговорить жертв от входа в свои учетные записи, предоставляя субъектам угрозы возможность перехватить контроль над учетными записями и выполнять несанкционированные действия.
Хотя точное происхождение вредоносного ПО в настоящее время неизвестно, индикаторы компрометации (IOCs) предполагают возможную связь с известным семейством воров и загрузчиков, известных как DanaBot, которые распространялись через вредоносную рекламу в поиске Google и служили первоначальным источником доступа для программ-вымогателей.
"Эта сложная угроза демонстрирует расширенные возможности, особенно при выполнении атак "человек в браузере" благодаря динамической связи, методам веб-внедрения и способности адаптироваться на основе инструкций сервера и текущего состояния страницы", - сказал Лангус.
Разработка происходит по мере того, как Sophos проливает больше света на схему забоя свиней, в рамках которой потенциальных жертв заманивают инвестировать в поддельный сервис майнинга ликвидности, раскрывая более широкий набор мошенничеств, которые принесли участникам в этом году криптовалюты на сумму около 2,9 миллиона долларов по состоянию на 15 ноября от 90 жертв.
"Похоже, что они управлялись тремя отдельными группами злоумышленников, использующими идентичные мошеннические сайты приложений для децентрализованного финансирования ("DeFi"), что позволяет предположить, что они являются частью или аффилированы с одной [китайской] организованной преступной группировкой", - сказал исследователь безопасности Шон Галлахер.
Согласно данным, которыми поделился Европол ранее на этой неделе, мошенничество с инвестициями и компрометацией деловой электронной почты (BEC) остаются наиболее распространенными схемами онлайн-мошенничества.
"Тревожной угрозой, связанной с инвестиционным мошенничеством, является его использование в сочетании с другими схемами мошенничества против тех же жертв", - заявило агентство.
"Инвестиционное мошенничество иногда связано с любовными аферами: преступники медленно выстраивают доверительные отношения с жертвой, а затем убеждают ее инвестировать свои сбережения в мошеннические платформы для торговли криптовалютами, что приводит к большим финансовым потерям".
В связи с этим компания по кибербезопасности Group-IB заявила, что с начала ноября 2023 года выявила 1539 фишинговых веб-сайтов, выдающих себя за почтовых операторов и компании доставки. Подозревается, что оно создано для одной мошеннической кампании.
В ходе этих атак пользователям отправляются SMS-сообщения, имитирующие известные почтовые службы, и предлагается посетить поддельные веб-сайты для ввода своих личных и платежных реквизитов, ссылаясь на срочную или неудачную доставку.
Операция также примечательна тем, что включает в себя различные методы уклонения, позволяющие оставаться незамеченной. Это включает ограничение доступа к мошенническим веб-сайтам в зависимости от географического местоположения, обеспечение того, чтобы они работали только на определенных устройствах и операционных системах, а также сокращение срока их действия.
"Кампания затрагивает почтовые бренды в 53 странах", - заявили в Group-IB. "Большинство обнаруженных фишинговых страниц нацелены на пользователей в Германии (17,5%), Польше (13,7%), Испании (12,5%), Великобритании (4,2%), Турции (3,4%) и Сингапуре (3,1%)".
