IBM scopre malware che ha rubato dati bancari a 50.000 utenti

Il team di sicurezza di IBM ha scoperto una campagna malware, lanciata nel marzo 2023, che ha utilizzato iniezioni web JavaScript. Gli aggressori hanno rubato dati bancari di oltre 50.000 utenti di 40 banche in Nord America, Sud America, Europa e Giappone. Secondo IBM, la campagna era in preparazione almeno da dicembre 2022, quando sono stati acquistati i domini dannosi. Inoltre, gli indicatori storici di compromissione (IOC) suggeriscono un possibile collegamento con DanaBot, anche se non è possibile confermare l’identità degli aggressori. Gli attacchi si sono svolti tramite script caricati dal server dell'aggressore, prendendo di mira una specifica struttura di pagina comune a molte banche. Lo scopo era quello di intercettare le credenziali dell'utente e le password monouso (OTP). Una volta rubati i dati degli utenti, gli aggressori avranno completo accesso al conto bancario delle vittime, possono eseguire transazioni non autorizzate e modificare le impostazioni di sicurezza dell’account.

IBM: come funziona l’attacco malware agli account bancari

L'attacco inizia con l'infezione iniziale del malware nel dispositivo della vittima. Il report di IBM non approfondisce le specifiche di questa fase, ma ciò potrebbe avvenire tramite malvertising, phishing, ecc. Una volta che la vittima visita i siti compromessi o dannosi degli aggressori, il malware inserisce un nuovo tag di script con un attributo source ("src") che punta a uno script ospitato esternamente. Lo script offuscato dannoso viene caricato sul browser della vittima per modificare il contenuto della pagina web, acquisire credenziali di accesso e intercettare codici di accesso monouso (OTP). Secondo IBM questo passaggio aggiuntivo è insolito, poiché la maggior parte dei malware esegue iniezioni web direttamente sulla pagina. Tuttavia, ciò rende gli attacchi più furtivi, poiché è improbabile che i controlli di analisi statica segnalino lo script di caricamento più semplice come dannoso. Gli aggressori potranno poi passare a nuovi payload di seconda fase (se necessario).

Vale anche la pena notare che lo script dannoso assomiglia alle legittime reti di distribuzione dei contenuti JavaScript (CDN), che utilizzano domini come cdnjs[.]com e unpkg[.]com per eludere il rilevamento. Lo script è dinamico, adatta costantemente il suo comportamento alle istruzioni del server di comando e controllo. Ha più stati operativi determinati da un flag "mlink" impostati dal server, inclusa l'immissione di richieste di numeri di telefono o token OTP, la visualizzazione di messaggi di errore o la simulazione del caricamento della pagina, tutto parte della sua strategia di furto di dati. IBM ha rilevato nove valori di variabili “mlink”, che possono essere combinati per eseguire una vasta gamma di azioni e scambi di dati tra lo script e il server. Secondo IBM, la campagna è ancora in corso e consiglia agli utenti di fare attenzione quando si utilizzano piattaforme e app di banking.