Bankokat érintő web injection kampány
Egy 2023 márciusában felbukkant új kártevő kampány JavaScript webes befecskendezésekkel próbálta ellopni 40 bank több mint 50 000 felhasználójának banki adatait Észak-Amerikában, Dél-Amerikában, Európában és Japánban. Az IBM biztonsági csapata azonosította a kampányt, és arról számolt be, hogy a kampány legalább 2022 decembere óta készült, amikor a rosszindulatú domaineket megvásárolták. A kampány a támadó szerveréről betöltött szkripteken keresztül bontakoztak ki, amelyek egy specifikus, közös oldalstruktúrát céloztak meg számos bankban a felhasználói hitelesítő adatok és egyszeri jelszavak (OTP) megszerzésére. Az említett információk megszerzésével a támadók be tudnak jelentkezni az áldozat bankszámlájára, a biztonsági beállítások megváltoztatásával kizárhatják a számlatulajdonosokat, és jogosulatlan tranzakciókat hajthatnak végre. A rosszindulatú kibertevékenység az áldozat eszközének fertőzésével kezdődik, amelynek részleteire nem tér ki az IBM jelentése. Amint az áldozat meglátogatja a támadók kompromittált vagy rosszindulatú webhelyeit, a rosszindulatú szoftver egy új szkriptcímkét injektál egy forrás (“src”) attribútummal, amely egy külső tárhelyen tárolt szkriptre mutat. A rosszindulatú, obfuszkált szkriptet az áldozat böngészőjébe töltik be, hogy módosítsa a weboldalak tartalmát, rögzítse a bejelentkezési adatokat és elfogja az egyszeri jelszavakat (OTP). Az IBM szerint ez a plusz lépés szokatlan, mivel a legtöbb rosszindulatú szoftver közvetlenül a weboldalon hajtja végre a webes injektálást. Ez az új megközelítés lopakodóbbá teszi a támadásokat, mivel a statikus elemzési ellenőrzések valószínűleg nem jelzik rosszindulatúnak az egyszerűbb betöltő szkriptet, ugyanakkor lehetővé teszi a dinamikus tartalomszállítást, így a támadók szükség esetén új, második lépcsős hasznos terhelésre válthatnak. A rosszindulatú szkript a felismerés elkerülése érdekében olyan tartományokat használ, mint a cdnjs[.]com és az unpkg[.]com, és így hasonlít a legitim JavaScript tartalomszolgáltató hálózatokra (CDN).