IBM expõe campanha maliciosa destinada a roubar informações de contas bancárias
A equipe de segurança cibernética da IBM descobriu uma recente operação maliciosa chamada “Operação Sunrise”, que teve como alvo mais de 50.000 indivíduos em várias instituições financeiras na América do Norte, América do Sul, Europa e Japão. Este esquema nefasto foi iniciado em Março de 2023, mas os adversários já tinham iniciado os seus preparativos já em Dezembro de 2022, assegurando os nomes de domínio utilizados para fins de comando e controlo.
A principal metodologia empregada nesta operação envolve a injeção direta de código malicioso de servidores de comando e controle em páginas web estruturalmente comuns utilizadas por múltiplas instituições bancárias. Isso permite que os perpetradores apreendam credenciais de login e tokens de uso único associados a sistemas de autenticação bidirecional, concedendo-lhes subsequentemente acesso não autorizado às contas das vítimas. Posteriormente, eles podem manipular as configurações da conta e executar transações financeiras não autorizadas.
O estágio inicial de um ataque envolve a contaminação do dispositivo visado por meio de táticas comuns, como anúncios maliciosos ou esquemas de phishing. Depois que a vítima navega involuntariamente para um site comprometido, um script é introduzido sub-repticiamente em sua experiência de navegação por meio de uma tag de script criada com códigos maliciosos. Esse código incorporado permite a manipulação do conteúdo exibido, o apagamento de credenciais de login destinadas a sites de instituições financeiras e a interceptação de mensagens de texto contendo senhas únicas enviadas como parte de processos de autenticação.
Na verdade, a utilização de uma metodologia de injeção indireta em conjunto com um script de carregamento neutro furtivo fornece um meio de contornar as avaliações de segurança estática, facilitadas pela implantação de cargas nefastas através de uma infraestrutura de comando e controle. Além disso, esses scripts são frequentemente mascarados como redes de entrega de conteúdo (CDNs) JavaScript confiáveis, exacerbando assim os desafios associados à identificação e correção de ameaças. Além disso, este script específico serve adicionalmente para avaliar a viabilidade das contramedidas disponíveis destinadas a garantir a segurança do sistema.
O script opera dinamicamente dependendo das instruções que lhe são dadas pelo servidor de comando e controle, atualizando-o também sobre o que acontece no dispositivo comprometido. O script pode assumir diferentes estados operacionais através de um sinalizador “mlink” que fornece nove valores diferentes que também podem ser combinados para ordenar a execução de diversas ações simultâneas.
Os pesquisadores da IBM identificaram ligações entre esta campanha e o trojan bancário mais conhecido, DanaBot, em circulação desde 2018 e que foi recentemente espalhado por meio de malvertising na Pesquisa Google, promovendo instaladores falsos do Cisco Webex.
A IBM identificou que esta ameaça permanece ativa, necessitando de maior conscientização e cautela ao utilizar diversas plataformas digitais, como serviços bancários móveis e on-line.
*️⃣ Link da fonte: