IBM Security a décortiqué du code JavaScript injecté sur les pages de banque en ligne afin de voler les identifiants de connexion des utilisateurs. Selon les données recueillies, 50 000 sessions d’utilisateurs avec plus de 40 banques dans le monde entier ont été compromise par le logiciel malveillant en 2023. Le malware Windows DanaBot, ou quelque chose de similaire ou de connexe, infecte les ordinateurs des victimes – généralement à partir d’emails indésirables et par d’autres moyens – puis attend que l’utilisateur visite le site de sa banque. À ce moment-là, le malware se déclenche et injecte du JavaScript dans la page de connexion. Ce code injecté s’exécute sur la page dans le navigateur, et intercepte les identifiants de la victime lorsqu’ils sont saisis, ce qui peut être transmis aux fraudeurs pour exploiter et vider les comptes. Le code a été repéré en train d’attaquer des clients de dozens d’organisations financières en Amérique du Nord, en Amérique du Sud, en Europe et au Japon, a rapporté Tal Langus d’IBM cette semaine. Les auteurs de ce canular ont acheté les noms de domaines utilisés par le code JavaScript en décembre 2022, et ont lancé leur campagne d’injection Web peu de temps après. On nous a dit que le vol d’identifiants se poursuit jusqu’à aujourd’hui. JS cible une structure de page Web que plusieurs banques utilisent pour leurs sites, et il semble que cela puisse récolter des jetons d’authentification à plusieurs facteurs également, des jetons provenant des marques. Lorsque la page de banque demandée « contient un certain mot-clé et un bouton de connexion avec un ID spécifique présent, un nouveau contenu malveillant est injecté », a expliqué Langus. « Le vol d’identifiants s’effectue en ajoutant des écouteurs d’événements à ce bouton, avec une option pour voler un mot de passe à usage unique (OTP) avec. »
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
