Nowy atak zbiera żniwo. Zagrożeni klienci 40 banków

Eksperci zajmujący się cyberbezpieczeństwem biją na alarm, gdyż wykryli złośliwe oprogramowanie nowego typu, które od początku roku mogło wpłynąć na ponad 50 tysięcy sesji oraz zaburzyć pracę ponad 40 banków z wielu kontynentów, w tym tych z Europy.

Ponad 40 banków zagrożonych. Część z nich obsługuje klientów z Europy

W marcu bieżącego roku specjaliści z IBM Security Trusteer odkryli nową kampanię cyberprzestępców wykorzystującą Java Script i Web Injections. Ta nowa kampania jest szeroko zakrojona a historyczne wskaźniki IOC sugerują możliwe powiązanie z DanaBot — chociaż nie można mieć co to tego całkowitej pewności.

Web Injection to technika pozwalająca na zmianę zawartości strony internetowej po stronie klienta i dodanie własnej treści poprzez wstrzyknięcie złośliwego kodu do przestrzeni adresowej przeglądarki i przechwycenie wszystkich żądań http i odpowiedzi z serwera. Jest to jednocześnie jedna z ulubionych metod cyberprzestępców podczas ataków na klientów banków.

Głębsza analiza problemu pokazała, że nowa metoda zebrała już pokaźne żniwo. Od początku 2023 roku mogło zostać zainfekowanych nawet 50 tysięcy sesji użytkowników w ponad 40 różnych bankach. 

Security Intelligence twierdzi, że w przypadku tej nowej kampanii cyberprzestępcy wykorzystują metodę Web Injections w celu przechwycenia danych uwierzytelniających użytkownika, w tym jednorazowych kodów (OTP), by uzyskać dostęp do informacji bankowych. Co ciekawe, zwykle złośliwe oprogramowanie jest wstrzykiwane bezpośrednio na zaatakowaną stronę internetową, jednak w tym przypadku złośliwy skrypt jest zasobem hostowanym na zewnętrznym serwerze. Jest on pobierany poprzez umieszczenie go w dokumencie HTML strony z atrybutem src ustawionym na złośliwą domenę. 

Zobacz: Pułapka na warszawiaków. Chwila nieuwagi i czyszczą konto
Zobacz: Rząd PiS zapomniał zapłacić. Zalega łącznie nawet 250 mln zł

 

Źródło zdjęć: Shutterstock

Źródło tekstu: Security Intelligence