Un nouveau malware, ciblant spécifiquement les codes à usage unique des banques, a déjà affecté 50 000 clients bancaires. Cette attaque sophistiquée utilise un script JavaScript injecté pour dérober les identifiants et les mots de passe à usage unique.

Dans la foulée d’une attaque récente visant les utilisateurs de macOS, IBM a révélé l’existence d’une campagne de piratage agressive lancée en mars 2023, qui sévit toujours. Cette opération a compromis les données bancaires de plus de 50 000 clients répartis dans 40 banques en Amérique du Nord, du Sud, en Europe et au Japon.

Les experts en sécurité d’IBM décrivent cette campagne comme le résultat d’une planification méticuleuse, initiée dès décembre 2022 avec l’achat de noms de domaine pour héberger un script malveillant.

Le processus de cette attaque débute par l’infection de l’appareil de la victime via un logiciel malveillant, probablement par le biais de techniques de hameçonnage, comme observé dans des cas récents impliquant des comptes d’hôtels sur Booking.

Une fois que la victime accède aux sites malveillants, le malware charge un script Java nuisible sur le navigateur de l’appareil infecté. Ce script est conçu pour enregistrer les identifiants des sites bancaires et intercepter les mots de passe à usage unique.

La méthode de chargement des scripts, depuis un serveur distant, est particulièrement discrète, permettant aux pirates d’éviter la détection. De plus, le script malveillant utilise des domaines légitimes et adapte son comportement en fonction des instructions du serveur de commande, ce qui le rend extrêmement efficace pour extraire des données.

Les chercheurs ont établi un lien entre cette campagne et DanaBot, un cheval de Troie bancaire récemment propagé via de fausses publicités pour le logiciel Cisco Webex sur Google, dissimulant le malware dans l’installateur du programme.

Contactez MATA pour en savoir plus