Novi JavaScript zlonamjerni softver ciljao 50.000+ korisnika
Primijećen je novi JavaScript zlonamjerni softver koji pokušava da izvrši krađu akreditive za pristup bankovnim računima preko interneta kao dio kampanje koja je ciljala više od 40 finansijskih institucija širom sveta.
JAVASCRIPT ZLONAMJERNI SOFTVER
U martu 2023. godine sigurnosni istraživači kompanije IBM Security Trusteer su otkrili su novu kampanju zlonamjernog softvera koja koristi JavaScript veb injekcije. Ova nova kampanja je široko rasprostranjena sa istorijskim pokazateljima kompromisa (eng. indicators of compromise – IOC) koji sugerišu moguću vezu sa DanaBot zlonamjernim softverom, iako se ne može definitvno potvrditi njegov identitet.
Od početka 2023. godine, primijećeno je preko 50.000 zaraženih korisničkih sesija u kojima su napadači koristili ove injekcije, što ukazuje na obim aktivnosti prijetnji, u više od 40 banaka koje su bile pogođene ovom kampanjom zlonamjernog softvera širom Sjeverne Amerike, Južne Amerike, Evrope i Japana.
U nastavku će biti riječi o veb injekciji koja je korišćena u nedavnoj kampanji, tehnikama izbjegavanja, ciljevima i metodama koje se koriste za njihovo postizanje.
ZLONAMJERNA KAMPANJA
Analiza sigurnosnih istraživača pokazuje da je u ovoj zlonamjernoj kampanji namjera zlonamjernih aktera sa modulom za ubrizgavanje na vebu vjerovatno da ugroze popularne bankarske aplikacije i kada se zlonamjerni softver instalira, izvrše presretanje akreditiva korisnika kako bi zatim pristupili i vjerovatno unovčili presretnute bankarske informacije.
Istraživanje pokazuje da su zlonamjerni akteri kupili domene u decembru 2023. godine i počeli da sprovode svoju kampanju ubrzo nakon toga. Od početka 2023. godine, primijećeno je više sesija koje komuniciraju sa tim domenama i koje si bile aktivne krajem 2023. godine.
Nakon ispitivanja JavaScript veb injekcije sigurnosni istraživači su otkrili da skripta cilja na određenu strukturu stranice uobičajenu u više banaka. Kada traženi resurs sadrži određenu ključnu riječ i postoji dugme za prijavu sa određenim ID-om, ubacuje se novi zlonamjerni sadržaj. Krađa akreditiva se izvršava dodavanjem slušalaca događaja ovom dugmetu, sa opcijom da se sa njim ukrade token za jednokratnu lozinku (eng. one-time password – OTP).
Ova veb injekcija ne cilja banke sa različitim stranicama za prijavu, ali šalje podatke o zaraženoj mašini na server i može se lako izmijeniti da cilja druge banke.
Isporuka kôda
U ovoj zlonamjernoj kampanji, zlonamjerna skripta je spoljni resurs koji se nalazi na serveru napadača. Ona se preuzima ubrizgavanjem oznake skripte u head element HTML stranice sa src atributom postavljenim na zlonamjerni domen.
Analiza je pokazala da zlonamjerni softver pokreće eksfiltraciju podataka nakon početnog preuzimanja skripte. Pored toga dodaje informacije, kao što su ID bota i različite zastavice konfiguracije, kao parametre upita. Ime računara se obično koristi kao ID bota, što je informacija koja nije dostupna preko pretraživača. To ukazuje da se infekcija već dogodila na nivou operativnog sistema drugim komponentama zlonamjernog softvera, pre ubacivanja sadržaja u sesiju pregledača.
Tehnike izbjegavanja
Preuzeta skripta se namjerno zamagljuje i vraća kao jedan red kôda, koji uključuje i kôdirani niz skripte i malu skriptu za dekôdiranje.
Da bi se prikrio zlonamjerni sadržaj, veliki niz se dodaje na početak i kraj kôda dekodera. Kôdirani string se zatim prosljeđuje kreatoru funkcija u okviru anonimne funkcije i brzo se izvršava, što takođe pokreće izvršenje zlonamjerne skripte.
Injekcija takođe vrši zakrpe funkcija, mijenjajući ugrađene funkcije koje se koriste za prikupljanje informacija o objektnom modelu dokumenta trenutne stranice (eng. document object model – DOM) i JavaScript okruženju. Zakrpa uklanja sve preostale dokaze o zlonamjernom softveru sa sesije. Sve ove radnje se izvode kako bi se prikrilo prisustvo zlonamjernog softvera.
Dinamička veb injekcija
Ponašanje skripte je veoma dinamično, neprekidno ispituje i komandni i kontrolni (C2) server i trenutnu strukturu stranice i prilagođava njen tok na osnovu dobijenih informacija. Struktura je slična arhitekturi klijent-server, gdje skripta održava kontinuirani tok ažuriranja do servera dok zahteva dalja uputstva.
Da bi zadržala evidenciju o svojim radnjama, skripta šalje zahtev serveru, bježeći relevantne informacije, kao što su izvorna funkcija, status uspeha ili neuspjeha i ažuriranja različitih oznaka koje ukazuju na trenutno stanje. Skripta se oslanja na prijem specifičnog odgovora od servera, koji određuje tip injekcije koju treba da izvrši, ako postoji. Ova vrsta komunikacije u velikoj mjeri povećava otpornost veb injekcije.
Na primjer, omogućava injekciji da strpljivo čeka da se određeni element učita, obezbijedi serveru ažuriranja u vezi sa prisustvom ubačenog OTP polja, ponovo pokuša sa određenim koracima (kao što je ubacivanje prekrivača za slanje SMS-a) ili preusmjeri na stranicu za prijavu pre nego što prikazuje upozorenje da je banka privremeno nedostupna.
Server nastavlja da identifikuje uređaj po ID-u bota, pa čak i ako klijent pokuša da odveži ili ponovo učita stranicu, ubrizgavanje može da se nastavi iz prethodno izvršenog koraka. Ako server ne reaguje, proces ubrizgavanja se neće nastaviti. Dakle, da bi ova injekcija bila efikasna, server mora ostati na mreži.
“Ovaj napad naglašava da je sektor finansijskih usluga izuzetno ranjiv na prevare, posebno kada se jednostavno oslanja na autentifikaciju korisnika i jednokratne lozinke (OTP). Krađa akreditiva je u fokusu napadača, a ovaj JavaScript napad pokazuje koliko su potrošači ranjivi čak i sa višefaktorskom autentifikacijom (MFA).
Bankama su potrebni dodatni bezbjednosni slojevi, posebno sa aplikacijama za mobilno bankarstvo i mogu primijeniti mjere kao što su otkrivanje neovlaštenog pristupa aplikacijama, atestiranje mobilnih aplikacija i tehnike samozaštite aplikacije tokom izvršavanja (RASP) kako bi spriječile napade na API-je. Ove mjere pomažu u sprečavanju neovlaštenih modifikacija aplikacije koje bi mogle da uvedu zlonamjerni kôd i mogu takođe da spriječe prevaru akreditiva koji su ukradeni korištenjem tehnika zasnovanih na vebu poput ove.”
ZAKLJUČAK
Sigurnosni istraživači su primijetili široku rasprostranjenost ove aktivne kampanje zlonamjernog softvera koja utiče na bankarske aplikacije brojnih finansijskih institucija širom Sjeverne Amerike, Južne Amerike, Evrope i Japana. Ova sofisticirana prijetnja pokazuje napredne mogućnosti, posebno u izvršavanju napada čovjek u pretraživaču (eng. man-in-the-browser – MitB) sa svojom dinamičkom komunikacijom, metodama veb ubrizgavanja i sposobnošću prilagođavanja na osnovu uputstava servera i trenutnog stanja stranice. Zlonamjerni softver predstavlja značajnu opasnost po bezbjednost finansijskih institucija i njihovih klijenata.
ZAŠTITA
Korisnici treba da budu oprezni kada koriste bankarske aplikacije. Ovo uključuje kontaktiranje banke kako bi prijavili potencijalno sumnjivu aktivnost na računima korisnika, ne preuzimanje softvera iz nepoznatih izvora i praćenje najboljih praksi za higijenu lozinki i higijenu sigurnosti elektronske pošte.
Pojedinci i organizacije takođe moraju da budu na oprezu, da primjenjuju robusne mjere bezbjednosti i da budu informisani o pojavljivanju zlonamjernog softvera kako bi se efikasno suprotstavili ovim prijetnjama.