Gruppo ECP Advpress Automationtoday AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit Gruppo ECP Advpress Automationtoday AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Campagna di malware mira le informazioni bancarie

Svelato l'artificio degli attacchi: tra script nocivi, mimetizzazione e legami con DanaBot

Una recente campagna di malware ha messo a segno un attacco attraverso iniezioni di JavaScript, mirando a 50.000 utenti di 40 istituti bancari nel mondo. Il malware inietta uno script maligno nel browser dell'utente, modificando le pagine web delle banche e rubando dati. I cybercriminali hanno utilizzato tecniche sofisticate per eludere i sistemi di sicurezza, facendo apparire lo script come uno CDN JavaScript comune. Si è scoperto un legame con il trojan bancario DanaBot.
Gruppo ECP

DAL GAP AL TRAGUARDO
Trasformiamo le sfide in successi aziendali
SCOPRI COME

Gruppo ECP

DAL GAP AL TRAGUARDO
Trasformiamo le sfide
in successi aziendali
SCOPRI COME

This pill is also available in English language

Una nuova pericolosa campagna di malware identificata per la prima volta a marzo 2023 ha utilizzato iniezioni di JavaScript per colpire più di 50.000 utenti di circa 40 istituti bancari distribuiti tra Nord America, Sud America, Europa e Giappone. Gli analisti di sicurezza di IBM hanno evidenziato questo attacco evoluto, il quale è stato orchestrato da dicembre 2022, momento in cui sono stati registrati i domini dannosi utilizzati dagli aggressori.

Modalità di attacco e caricamento degli script

L'infestazione inizia con il malware che contamina il dispositivo dell'utente, presumibilmente tramite tecniche di phishing o malvertising. Una volta che il malcapitato accede a un sito compromesso, viene iniettato uno script attraverso un tag con un attributo "src" collegato a uno script nocivo esterno. Quest'ultimo si carica nel browser e modifica il contenuto delle pagine web bancarie, catturando credenziali di accesso e codici OTP. La squadra IBM sottolinea che questo metodo indiretto di iniezione eleva la capacità dell'attacco di restare celato alle analisi statiche, poiché lo script caricatore iniziale appare meno sospetto.

Mascheramento e tattiche evasive

L'approccio adottato dai criminali informatici mira a rimanere sotto il radar, mimetizzando il comportamento dello script con quello di comuni CDN JavaScript. Domini come cdnjs[.]com e unpkg[.]com vengono sfruttati per eludere i sistemi di rilevamento. Inoltre, prima di procedere con l'esecuzione, lo script verifica la presenza di prodotti di sicurezza specifici. Il comportamento dinamico permette allo script di adeguarsi istantaneamente alle direttive del server command and control, aggiornando e ricevendo risposte che influenzano la sua attività sul dispositivo infetto.

Connessioni con altri malware e raccomandazioni

Gli esperti IBM hanno scoperto legami tra questa campagna e DanaBot, un trojan bancario modulare conosciuto dal 2018, recentemente osservato in campagne di malvertising che promuovono falsi installer per Cisco Webex. Nove valori variabili dell'indicatore "mlink" possono essere combinati per ordinare allo script di eseguire azioni specifiche di sottrazione dati. IBM ricorda che la campagna è ancora attiva e raccomanda quindi un'attenzione rinnovata nell'utilizzo di portali e applicazioni bancarie online.

Seguici su Threads per altre pillole come questa

19/12/2023 21:38

Marco Verro

Ultime pillole

Cloudflare respinge il più potente attacco DDoS mai registratoDifesa avanzata e collaborazione globale per fronteggiare le nuove sfide degli attacchi DDoS

Cloudflare e la gestione tempestiva di una crisi infrastrutturale globaleGestione efficace e trasparenza nelle emergenze tecnologiche su scala mondiale

Minacce silenziose: la falla zero-click che compromette i server RDPRischi nascosti nel lavoro remoto: come proteggere i server RDP da attacchi invisibili

Scoperta falla in Secure Boot minaccia la sicurezza dei dispositiviFalla nel sistema di avvio protetto richiede aggiornamenti urgenti per evitare intrusioni invisibili

Non perderti le notizie più importanti
Attiva le notifiche per restare sempre aggiornato