Ce code JavaScript malveillant a permis de voler les identifiants bancaires de 50 000 utilisateurs !
Une campagne malveillante lancée en 2023 a permis aux cybercriminels de voler les identifiants de connexion bancaires de 50 000 utilisateurs répertoriés dans plus de 40 banques différentes. Redoutable, ce malware s'appuie sur un script JavaScript pour dérober également les codes à usage unique des utilisateurs ! Faisons le point !
Les chercheurs en sécurité d'IBM Security Trusteer ont découvert une campagne malveillante redoutable lancée en mars 2023 et qui serait toujours en cours. Le nombre de victimes est important puisque 50 000 clients de plus de 40 banques ont fait les frais de cette technique redoutable. Ceci touche des utilisateurs du monde entier puisque l'on dénombre des victimes en Amérique du Nord, en Amérique du Sud, en Europe et au Japon. Bien que ce ne soit pas confirmé, cette campagne malveillante pourrait être liée au malware DanaBot.
Bien qu'elle a été lancée début 2023, cette campagne malveillante était en préparation depuis 2022 : "Nos données montrent que les acteurs de la menace ont acheté des domaines malveillants en décembre 2022 et ont commencé à exécuter leurs campagnes peu de temps après. Depuis le début de l'année 2023, nous avons observé plusieurs sessions de communication avec ces domaines, qui restent actifs au moment de la publication de ce blog.", peut-on lire dans le rapport mis en ligne le 19 décembre 2023.
Un code JavaScript pour voler les identifiants
Tout commence par l'infection de la machine de l'utilisateur, que ce soit via un e-mail malveillant (phishing) ou une autre méthode. Une fois la machine infectée, il ne reste plus qu'à attendre que l'utilisateur se connecte au site web de sa banque. Quand ce sera le cas, le malware va faire en sorte d'injecter du code JavaScript malveillant sur la page de connexion au site bancaire.
Ce code n'est pas "compatible" avec toutes les banques, car cela dépend du processus de connexion et de la structure de la page. Toutefois, il est redoutable car il est capable de modifier la structure de la page et de l'adapter de manière à guider et piéger l'utilisateur.
Ce fameux code malveillant injecté directement dans la page web est difficile à détecter et il intercepte les informations d'identification de la victime en temps réel, au fur et à mesure qu'elles sont saisies ! Il est également capable de voler les codes de connexion à usage unique utilisés dans le cadre de l'authentification multifacteurs. L'objectif étant de permettre aux cybercriminels de pouvoir se connecter rapidement aux comptes bancaires de l'utilisateur pour lui voler de l'argent !
Ce malware communique avec un serveur C2 distant pour envoyer les données collectées et il est capable de s'auto-supprimer de la page de connexion une fois qu'il a fait son travail. Cela ne s'arrête pas là, car pour dissuader l'utilisateur de tenter de se connecter à son compte bancaire, la page web est modifiée de manière à indiquer que les services bancaires sont indisponibles pendant 12 heures. "Cette tactique vise à décourager la victime de tenter d'accéder à son compte, ce qui permet à l'acteur malveillant de mener des actions ininterrompues.", précise Tal Langus dans son rapport.
Comme le montre le nombre de victimes, cette attaque de type "man-in-the-browser" est particulièrement redoutable ! Méfiez-vous des e-mails que vous recevez et de ce que vous téléchargez sur Internet...
