IBM ha emesso un’allerta cruciale sulla scoperta di una nuova campagna malware che ha messo a segno colpi contro oltre 50.000 utenti di 40 istituti finanziari in Nord America, Sud America, Europa e Giappone. La campagna, iniziata a marzo 2023, ha dimostrato una pianificazione attenta degli attori di minaccia che hanno iniziato la preparazione già da dicembre 2022, registrando domini destinati a veicolare l’attacco.
Analisi della Campagna e Tecniche Subdole
La strategia chiave della campagna è il caricamento di script dannosi direttamente dai server di comando e controllo degli attaccanti. Questi script mirano a una struttura di pagina web comune a numerosi istituti bancari, consentendo agli aggressori di intercettare credenziali utente e codici monouso per l’autenticazione a due fattori. Il malware, una volta infiltrato nei dispositivi delle vittime attraverso tecniche di malvertising o phishing, inietta script nelle pagine web dei siti bancari compromessi, consentendo il furto delle credenziali e l’intercettazione dei codici monouso dagli SMS.
IBM sottolinea che l’iniezione indiretta degli script è particolarmente subdola. Questa tecnica consente di eludere l’analisi statica grazie all’utilizzo di uno script di caricamento neutro, mentre il payload dannoso può essere dinamicamente consegnato dal server di comando e controllo. Gli script sono mascherati da JavaScript CDN legittimi, rendendo la minaccia ancor più difficile da rilevare automaticamente. Ulteriormente, lo script è progettato per controllare la presenza di soluzioni di sicurezza, complicando ulteriormente i tentativi di difesa.
Minaccia Persistente: Difese e Avvertimenti
Lo script opera dinamicamente in base alle istruzioni del server di comando e controllo, aggiornandosi sullo stato del dispositivo compromesso. Il flag “mlink” attribuisce nove valori diversi allo script, consentendo esecuzioni simultanee di azioni varie. I ricercatori di IBM hanno individuato legami tra questa campagna e il trojan bancario più noto, DanaBot, evidenziando la persistenza e la natura pericolosa di questa minaccia.
IBM avverte che la minaccia è attiva al momento e richiede una vigile attenzione da parte degli utenti durante l’utilizzo di applicazioni e portali di mobile e online banking. Le analisi in corso mirano a identificare ulteriori caratteristiche della minaccia e a sviluppare difese efficaci contro questa campagna malware bancario in continua evoluzione. La collaborazione tra istituti finanziari, fornitori di sicurezza e utenti è essenziale per mitigare il rischio e proteggere le informazioni sensibili.
