Ricercatori di sicurezza informatica hanno fatto luce su un mercato darknet chiamato InTheBox, progettato per soddisfare specificamente gli operatori di malware per mobile, con la vendita di malware-as-a-service, pronti all’uso.
Il mercato criminale, online almeno dal gennaio 2020, ha offerto oltre 400 inoculazioni web personalizzate raggruppate per area geografica che possono essere acquistate da altri criminali che cercano di organizzare i propri attacchi.
“L’automazione consente ad altri malintenzionati di creare le iniezioni web più aggiornate per un’implementazione come mobile malware“, ha affermato l’azienda Resecurity.
“InTheBox può essere definito il più grande e probabilmente l’unico nella sua categoria di mercato che fornisce iniezioni web di alta qualità per popolari malware mobile“.
Cosa sono i web inject
I web inject (inoculazioni / iniezioni web) sono pacchetti utilizzati nel malware finanziario che sfruttano il vettore di attacco adversary-in-the-browser (AitB) per fornire codice HTML o JavaScript dannoso quando le vittime avviano operazioni bancarie, crittografiche, pagamenti, e-commerce, e-mail o app di social media. In poche parole, siti e schermate che sembrano veri ma in realtà sono fake, fatti per rubare dati.
Queste pagine in genere assomigliano a una pagina Web di accesso bancario legittima e richiedono agli utenti inconsapevoli di inserire dati riservati come credenziali, dati della carta di pagamento, numeri di previdenza sociale (SSN), valore di verifica della carta (CVV) che vengono quindi utilizzati per compromettere il conto bancario e condurre frodi.
L’alleato di InTheBox, la Darknet
InTheBox è accessibile tramite la rete di anonimato Tor e pubblicizza una varietà di modelli di web inject in vendita, con l’elenco accessibile solo dopo che un cliente è stato controllato dall’amministratore e l’account è stato attivato.
Le iniezioni web possono essere acquistate per $ 100 al mese o come livello “illimitato” che consente all’acquirente di generare un numero illimitato di iniezioni durante il periodo di abbonamento. I costi per il piano illimitato variano tra $ 2.475 e $ 5.888 a seconda dei trojan supportati.
Alcuni dei trojan bancari Android supportati tramite il servizio includono Alien, Cerberus, ERMAC (e il suo successore MetaDroid), Hydra e Octo, ha affermato la società di sicurezza informatica con sede in California.
Furto di dati finanziari
“La maggior parte delle iniezioni ad alta richiesta è correlata ai servizi di pagamento, inclusi i servizi bancari digitali e gli scambiatori di criptovaluta“, hanno affermato i ricercatori. “Nel novembre 2022, l’attore ha organizzato un aggiornamento significativo di quasi 144 iniezioni migliorandone il design visivo“.
Lo sviluppo arriva quando la società di cyber security Cyble ha rivelato una nuova operazione di malware-as-a-service (MaaS) chiamata DuckLogs che è commercializzata per $ 69,99 per un accesso a vita, dando agli attori delle minacce la possibilità di raccogliere informazioni sensibili, dirottare transazioni di criptovaluta e requisire da remoto le macchine.
Ti è piaciuto questo articolo? Contattaci per una consulenza in materia di sicurezza informatica: