Se ha observado un nuevo tipo de malware JavaScript intentando robar las credenciales de cuentas bancarias en línea como parte de una campaña que ha apuntado a más de 40 instituciones financieras en todo el mundo.
El grupo de actividad, que utiliza inyecciones de JavaScript en la web, se estima que ha resultado en al menos 50,000 sesiones de usuario infectadas en América del Norte, América del Sur, Europa y Japón.
IBM Security Trusteer informó que detectó la campaña en marzo de 2023.
«La intención de los actores de amenazas con el módulo de inyección web probablemente sea comprometer aplicaciones bancarias populares y, una vez que el malware está instalado, interceptar las credenciales de los usuarios para luego acceder y probablemente monetizar su información bancaria», dijo el investigador de seguridad Tal Langus.
Las cadenas de ataque se caracterizan por el uso de scripts cargados desde el servidor controlado por los actores de amenazas («jscdnpack[.]com»), apuntando específicamente a una estructura de página común a varios bancos. Se sospecha que el malware se entrega a los objetivos mediante otros medios, como correos electrónicos de phishing o malvertising.
Cuando la víctima visita el sitio web de un banco, la página de inicio de sesión se altera para incorporar JavaScript malicioso capaz de recopilar credenciales y contraseñas de un solo uso (OTPs). El script está ofuscado para ocultar su verdadera intención.
PRÓXIMO SEMINARIO WEB Vence a las Amenazas Potenciadas por AI con Confianza Cero – Seminario web para Profesionales de la Seguridad Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de la Seguridad de Confianza Cero. Asegura tus datos como nunca antes.
Únete ahora «Esta inyección web no apunta a bancos con páginas de inicio de sesión diferentes, pero sí envía datos sobre la máquina infectada al servidor y se puede modificar fácilmente para apuntar a otros bancos», dijo Langus.
«El comportamiento del script es altamente dinámico, consultando continuamente tanto al servidor de comando y control (C2) como a la estructura actual de la página y ajustando su flujo según la información obtenida».
La respuesta del servidor determina su próximo curso de acción, lo que le permite borrar rastros de las inyecciones e insertar elementos fraudulentos de la interfaz de usuario para aceptar OTPs y eludir protecciones de seguridad, así como introducir un mensaje de error que indica que los servicios bancarios en línea estarán no disponibles durante un período de 12 horas.
IBM dijo que es un intento de disuadir a las víctimas de iniciar sesión en sus cuentas, proporcionando a los actores de amenazas una ventana de oportunidad para tomar el control de las cuentas y realizar acciones no autorizadas.
Mientras que las verdaderas fuentes del malware actualmente no se conocen, los indicadores de compromiso (IoCs) sugieren una posible conexión con una familia conocida de ladrones y cargadores llamada DanaBot, que se ha propagado a través de anuncios maliciosos en la Búsqueda de Google y ha actuado como un vector de acceso inicial para ransomware.
Malware JavaScript «Esta amenaza sofisticada muestra capacidades avanzadas, especialmente en la ejecución de ataques de hombre en el navegador con su comunicación dinámica, métodos de inyección web y la capacidad de adaptarse según las instrucciones del servidor y el estado actual de la página», dijo Langus.
Este desarrollo se produce cuando Sophos arrojó más luz sobre un esquema de sacrificio de cerdos en el que se atrae a posibles objetivos a invertir en un servicio falso de minería de liquidez, descubriendo un conjunto más amplio de estafas que han obtenido casi $2.9 millones en criptomonedas este año hasta el 15 de noviembre de 90 víctimas.
«Parece que han sido dirigidos por tres grupos de actividad amenazante separados que utilizan sitios idénticos de aplicaciones fraudulentas de finanzas descentralizadas (‘DeFi’), lo que sugiere que son parte o están afiliados a un único anillo de crimen organizado [chino]», dijo el investigador de seguridad Sean Gallagher.
Según datos compartidos por Europol a principios de esta semana, el fraude de inversión y el fraude comercial por correo electrónico (BEC) siguen siendo los esquemas de fraude en línea más prolíficos.
Ciberseguridad «Una amenaza preocupante en torno al fraude de inversión es su uso en combinación con otros esquemas de fraude contra las mismas víctimas», dijo la agencia.
«A veces, el fraude de inversión está vinculado a estafas románticas: los criminales construyen lentamente una relación de confianza con la víctima y luego la convencen de invertir sus ahorros en plataformas fraudulentas de comercio de criptomonedas, lo que lleva a grandes pérdidas financieras».
En una nota relacionada, la empresa de ciberseguridad Group-IB dijo que identificó 1,539 sitios web de phishing que se hacen pasar por operadores postales y empresas de entrega desde principios de noviembre de 2023. Se sospecha que fueron creados para una única campaña de estafa.
En estos ataques, a los usuarios se les envían mensajes de texto que imitan a servicios postales conocidos y se les pide que visiten los sitios web falsos para ingresar sus detalles personales y de pago, citando entregas urgentes o fallidas.
La operación también es notable por incorporar varios métodos de evasión para pasar desapercibida. Esto incluye limitar el acceso a los sitios web fraudulentos según la ubicación geográfica, asegurándose de que solo funcionen en dispositivos y sistemas operativos específicos y acortando la duración por la cual están activos.
«La campaña afecta a marcas postales en 53 países», dijo Group-IB. «La mayoría de las páginas de phishing detectadas apuntan a usuarios en Alemania (17.5%), Polonia (13.7%), España (12.5%), Reino Unido (4.2%), Turquía (3.4%) y Singapur (3.1%)».
es una abreviatura de «software malicioso» (del inglés, malicious software). Se refiere a cualquier tipo de software diseñado con intenciones maliciosas para dañar, acceder sin autorización o explotar sistemas informáticos, redes o dispositivos. El término «malware» abarca una variedad de amenazas informáticas, incluyendo virus, gusanos, troyanos, spyware, adware, ransomware y otros tipos de programas perjudiciales.
Estos programas maliciosos están destinados a comprometer la seguridad de los sistemas informáticos, robar información confidencial, interrumpir el funcionamiento normal de los dispositivos, realizar actividades fraudulentas o causar daño en general. El malware se propaga comúnmente a través de descargas de software no confiable, correos electrónicos de phishing, sitios web maliciosos, dispositivos USB infectados y otras formas de interacción digital no segura.
La detección y eliminación de malware son tareas fundamentales en ciberseguridad, y se utilizan programas antivirus y otras herramientas de seguridad para proteger los sistemas contra estas amenazas. Además, las prácticas seguras en línea, como mantener el software actualizado y ser cauteloso al hacer clic en enlaces o descargar archivos, son importantes para prevenir infecciones por malware.
CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.