Hackeri už stihli ukradnúť bankové údaje od 50-tisíc ľudí. Nová kampaň útočníkov je na vzostupe
Bezpečnostní experti upozorňujú na škodlivé webové injekcie, cez ktoré hackeri napádajú populárne bankové aplikácie.
Bankové trójske kone sú typ malvéru, ktorý sa dokáže maskovať za populárne bankové aplikácie. Kyberzločinci oklamú obete tým, že po stiahnutí malvéru, ktorý sa väčšinou vydáva za neškodnú aplikáciu, prekryjú obrazovku bankovej aplikácie falošnou obrazovkou, do ktorej obeť zadá svoje prihlasovacie údaje. Tie sa dostávajú priamo k útočníkovi.
Tieto typy malvéru pomerne často uplatňujú takzvané webové injekcie, čo je technika, ktorá hackerom dovoľuje manipulovať s výmenou dát medzi webovým prehliadačom a užívateľmi, informuje portál Security Intelligence. Aj touto cestou sa môžu hackeri dostať k citlivým informáciám.
Bezpečnostní experti z IBM Security Trusteer objavili v marci tohto roku nový typ hackerskej kampane, ktorá využívala webové injekcie prostredníctvom JavaScriptu. Upozornili na to, že táto kampaň prebieha po celom svete a bezpečnostní experti nedokážu dobre tieto útoky odhaľovať. Od marca však objavili niekoľko špecifických charakteristík malvéru, ktoré sa podobajú na spôsob, akým operoval bankový trójsky kôň DanaBot.
Od začiatku roku 2023 hackeri napadli viac ako 50-tisíc užívateľov. Útoky sa objavili v Severnej a Južnej Amerike, Európe a Japonsku. To svedčí o tom, že hackeri útočia globálne. Bezpečnostní experti konštatujú, že cieľom tejto hackerskej kampane je s najväčšou pravdepodobnosťou napadnúť populárne bankové aplikácie prostredníctvom webového injekčného modulu. Touto metódou získajú prístup k citlivým prihlasovacím údajom obetí a tie následne predávajú ďalej.
Útoky prebiehajú dodnes
Počiatky kampane experti vysledovali do decembra 2022. V tomto období hackeri nakúpili domény a krátko na to začali so svojimi útokmi. Tie sa naplno rozbehli v roku 2023 a bezpečnostní experti upozorňujú, že domény sú aktívne dodnes a zaznamenávajú na nich stále nejakú premávku.
Neprehliadnite
Bezpečnostní experti pri analýze pozorovali, že webová injekcia cieli na špecifickú štruktúru webovej stránky, ktorú zdieľa viacero bánk. Útok sa začína v momente, keď stránka požiada o zdroj obsahujúci určité kľúčové slovo a na stránke sa nachádza prihlasovacie tlačidlo so špecifickým ID. Táto metóda nenapáda banky s odlišnými prihlasovacími stránkami. Bezpečnostní experti si však všimli, že táto metóda posiela dáta o infikovanom zariadení na server a hackeri môžu túto injekciu ľahko upraviť tak, aby dokázala napadnúť aj iné banky.
Táto nová kampaň využíva na napadnutie zariadení škodlivý skript, ktorý sa nachádza na servery útočníka. Keď obeť navštívi škodlivé stránky hackerov, malvér pokračuje načítaním škodlivého skriptu Java do prehliadača infikovaného počítača. Ten sa dostáva do HTML dokumentu stránky. Výskumníci vysvetľujú, že skript pracuje s informáciami, ktoré nie sú dostupné cez webový prehliadač. Naznačuje to, že ešte pred útokom musel malvér napadnúť zariadenie na úrovni operačného systému.
Útoky stále prebiehajú globálne a bezpečnostní experti varujú užívateľov, aby si dávali dvojnásobný pozor pri práci s bankovými aplikáciami. Ak by si všimli akúkoľvek podozrivú aktivitu v aplikácií, svoju banku by mali kontaktovať okamžite. Stále platí, že by nemali užívatelia sťahovať aplikácie z neznámych zdrojov a nepoužívať jedno heslo na všetky svoje účty.
Komentáre