50 000 clients de banques ont été ciblés par une campagne de piratage. L’attaque s’appuie sur un malware, qui procède en injectant du code JavaScript. Ce script permet de voler les identifiants bancaires et surtout les codes à usage unique des banques.
Après ce malware redoutable qui cible les utilisateurs de macOS, voilà qu’IBM signale l’existence d’une campagne de piratage virulente lancée en mars 2023 et toujours en cours. Les acteurs de la menace ont réussi à l’aide d’un malware à voler les données bancaires de plus de 50 000 clients de 40 banques en Amérique du Nord, en Amérique du Sud, en Europe et au Japon.
Les équipes de sécurité d’IBM indiquent que cette campagne d’attaques résulte d’un plan savamment orchestré. En effet, les pirates préparaient l’opération depuis au moins décembre 2022, date à laquelle ils faisaient l’acquisition de noms de domaines pour les sites destinés à héberger un redoutable script.
Comment fonctionne cette campagne de vol de données bancaires ?
L’attaque commence par l’infection initiale de l’appareil de la victime par un logiciel malveillant. Le rapport d’IBM ne précise pas comment les pirates y parviennent. Comme d’habitude avec ce genre d’attaque, cela commence probablement par le hameçonnage de la victime, comme dans le cas de ces hôtels qui se sont fait voler leurs comptes officiels sur Booking.
Une fois que la victime visite les sites malveillants des pirates, le malware procède en chargeant un script Java malveillant sur le navigateur de la machine infectée. Ce script est capable d’enregistrer les identifiants des sites des banques et surtout d’intercepter les mots de passe à usage unique (OTP).
À lire > Gmail : ce dangereux malware peut accéder à votre compte en toute simplicité
La procédure par laquelle les scripts sont chargés, depuis un serveur distant, serait particulièrement furtive. Elle permet aux pirates d’échapper à la détection, d’autant plus que le script malveillant utilise des domaines légitimes.
De plus, le code adapte constamment son comportement aux instructions du serveur de commande, en envoyant des mises à jour et en recevant des réponses spécifiques qui guident son activité sur l’appareil piraté. Avec 9 variables combinables pour effectuer différentes actions, c’est un redoutable outil pour exfiltrer des données de l’appareil infecté.
Les chercheurs auraient trouvé un lien entre cette nouvelle campagne et DanaBot. Ce cheval de Troie bancaire s’était récemment propagé via des fausses publicités sur Google. Ces dernières faisaient la promotion du logiciel de visioconférence Cisco Webex, mais cachaient en réalité le malware dans l’installateur du programme.
Source : Security Intelligence
