🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện Đa khoa huyện Mê Linh đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Hoài Đức, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Kim Sơn, thị xã Sơn Tây, Hà Nội đã đăng ký tín nhiệm. 🔥                   

Hơn 1.800 mẫu giao diện web dùng để lừa đảo đang được rao bán trên thị trường tội phạm mạng

02/02/2023

Một tác nhân đe dọa có tên InTheBox đang quảng cáo trên các diễn đàn tội phạm mạng của Nga một kho chứa 1.894 các web inject (lớp giao diện phủ trên các trang web lừa đảo) dùng để đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm từ các ứng dụng ngân hàng, sàn giao dịch tiền điện tử và thương mại điện tử.

Các lớp phủ tương thích với nhiều ứng dụng giả mạo và mã độc Android banking do các tổ chức lớn vận hành được sử dụng ở hàng chục quốc gia trên hầu hết các châu lục.

Các mẫu web inject có sẵn với mức giá thấp cho phép tội phạm mạng tập trung vào các phần khác trong chiến dịch của chúng, phát triển phần mềm độc hại và mở rộng phạm vi tấn công của chúng sang các khu vực khác.

Thông thường, các banking trojan sẽ kiểm tra ứng dụng nào có trên thiết bị bị nhiễm sau đó tải từ máy chủ điều khiển tấn công mẫu web inject tương ứng với ứng dụng.

Khi nạn nhân khởi chạy một ứng dụng mục tiêu, phần mềm độc hại sẽ tự động tải lớp phủ bắt chước giao diện của ứng dụng hợp pháp.

Các nhà nghiên cứu tại công ty tình báo mối đe dọa Cyble đã phát hiện ra rằng InTheBox còn cung cấp bản cập nhật của các mẫu cho hàng trăm ứng dụng.

Theo phân tích của Cyble, kể từ tháng 1 năm 2023, InTheBox đã liệt kê các mẫu web inject sau đây, lần cập nhật gần nhất trước đó là vào tháng 10 năm 2022:

- 814 web inject tương thích với Alien, Ermac, Octopus và MetaDroid với giá 6.512 đô

- 495 web inject tương thích với Cerberus với giá 3.960 đô

- 585 web inject tương thích với Hydra với giá 4.680 đô

Đối với những người không muốn mua toàn bộ các mẫu, InTheBox cũng bán từng gói web riêng lẻ với giá 30 đô mỗi gói. Nó cũng cho phép người mua đặt mẫu cho bất kỳ phần mềm độc hại nào.

Các gói web inject của InTheBox bao gồm các biểu tượng ứng dụng ở dạng tệp PNG và tệp HTML có mã JavaScript thu thập thông tin đăng nhập của nạn nhân và dữ liệu nhạy cảm khác.

Trong hầu hết các trường hợp, các mẫu có thêm lớp phủ thứ hai yêu cầu người dùng nhập số thẻ tín dụng, ngày hết hạn và số CVV. Các inject của InTheBox còn có thể kiểm tra tính hợp lệ của số thẻ tín dụng do nạn nhân nhập vào.

Dữ liệu bị đánh cắp sẽ được chuyển đổi thành giá trị chuỗi (string) và gửi đến máy chủ do kẻ tấn công kiểm soát.

InTheBox đã bán các web inject cho phần mềm độc hại Android kể từ tháng 2 năm 2020, và vẫn tiếp tục thêm các trang mới nhắm mục tiêu đến nhiều ngân hàng và ứng dụng tài chính hơn.

Cyble xác nhận rằng web injection của InTheBox đã được trojan Android 'Coper' và 'Alien' sử dụng lần lượt vào năm 2021 và vào tháng 9 năm 2022, trong khi chiến dịch gần đây nhất xảy ra vào tháng 1 năm 2023 và nhắm mục tiêu đến các ngân hàng Tây Ban Nha.

Nguồn: bleepingcomputer.com.

scrolltop