Quelque chose de nauséabond a injecté du JavaScript volant les identifiants de connexion dans 50 000 sessions de banque en ligne.

IBM Security a disséqué du code JavaScript qui a été injecté dans les pages de banque en ligne des gens pour voler leurs informations de connexion, disant que 50 000 sessions d’utilisateurs avec plus de 40 banques dans le monde entier ont été compromises par le logiciel malveillant en 2023. Selon les preuves disponibles, il semble que le malware Windows DanaBot, ou quelque chose de similaire ou de connexe, infecte les ordinateurs des victimes – généralement à partir d’e-mails indésirables et d’autres moyens – et attend ensuite que l’utilisateur visite le site Web de sa banque. À ce moment-là, le malware se déclenche et injecte du JavaScript dans la page de connexion. Ce code injecté s’exécute sur la page dans le navigateur, et intercepte les informations d’identification de la victime lorsqu’elles sont entrées, ce qui peut être transmis aux fraudeurs pour exploiter et vider les comptes. Le code a été repéré en train d’attaquer des clients de dizaines d’organisations financières en Amérique du Nord, en Amérique du Sud, en Europe et au Japon, Tal Langus d’IBM a rapporté cette semaine. Les malfaiteurs derrière cette escroquerie ont acheté les noms de domaine utilisés par le code JavaScript en décembre 2022, et ont lancé leur campagne d’injection Web peu de temps après. On nous dit que le vol d’informations d’identification continue jusqu’à aujourd’hui. Le JS cible une structure de page Web que plusieurs banques utilisent pour leurs sites, et il semble qu’il puisse également récolter des jetons d’authentification à facteur multiple, trop, à partir des marques. Lorsque la page de banque demandée « contient un certain mot-clé et un bouton de connexion avec un ID spécifique présent, de nouveaux contenus malveillants sont injectés », a expliqué Langus. « Le vol d’informations d’identification est exécuté en ajoutant des gestionnaires d’événements à ce bouton, avec une option pour voler un jeton de mot de passe unique (OTP) avec lui. »

Share the Post: