Quelque chose de néfaste a injecté du JavaScript volant les identifiants de connexion dans 50 000 sessions de banque en ligne.

IBM Security a décortiqué du code JavaScript injecté dans les pages de banque en ligne des utilisateurs afin de voler leurs identifiants de connexion. Selon les données recueillies, 50 000 sessions d’utilisateurs de plus de 40 banques dans le monde ont été compromises par le logiciel malveillant en 2023. Les preuves disponibles indiquent que le malware Windows DanaBot, ou quelque chose de similaire ou de connexe, infecte les ordinateurs des victimes – généralement à partir de courriers indésirables et d’autres moyens – puis attend que l’utilisateur visite son site bancaire. À ce moment-là, le malware se déclenche et injecte du JavaScript dans la page de connexion. Ce code injecté s’exécute dans la page dans le navigateur, et intercepte les identifiants de la victime lorsqu’ils sont entrés, ce qui peut permettre aux fraudeurs de les exploiter pour vider les comptes. Le code a été repéré en train d’attaquer des clients de dizaines d’organisations financières en Amérique du Nord, en Amérique du Sud, en Europe et au Japon, a rapporté Tal Langus d’IBM cette semaine. Les auteurs de ce vol ont acheté les noms de domaine utilisés par le code JavaScript en décembre 2022 et ont lancé leur campagne d’injection Web peu de temps après. Nous sommes informés que le vol d’identifiants se poursuit aujourd’hui. Le JS cible une structure de page Web utilisée par plusieurs banques pour leurs sites et il semble qu’il puisse également récolter des jetons d’authentification à facteurs multiples des marques. Lorsque la page bancaire demandée « contient un certain mot-clé et un bouton de connexion avec un identifiant spécifique présent, de nouveaux contenus malveillants sont injectés », a expliqué Langus. « Le vol d’identifiants est exécuté en ajoutant des écouteurs d’événements à ce bouton, avec une option pour voler un jeton de mot de passe à usage unique (OTP) avec. »