Cyberthreat.id - Malware JavaScript baru telah diamati mencoba mencuri kredensial akun perbankan online pengguna sebagai bagian dari kampanye yang menargetkan lebih dari 40 lembaga keuangan di seluruh dunia.

Cluster aktivitas, yang menggunakan injeksi web JavaScript, diperkirakan telah menyebabkan setidaknya 50.000 sesi pengguna terinfeksi yang tersebar di Amerika Utara, Amerika Selatan, Eropa, dan Jepang.

IBM Security Trusteer mengatakan pihaknya mendeteksi kampanye tersebut pada Maret 2023.

“Niat pelaku ancaman dengan modul injeksi web kemungkinan besar akan menyusupi aplikasi perbankan populer dan, setelah malware dipasang, akan mencegat kredensial pengguna untuk kemudian mengakses dan kemungkinan memonetisasi informasi perbankan mereka,” kata peneliti keamanan Tal Langus sebagaimana dikutip The Hacker News.

Rantai serangan dicirikan oleh penggunaan skrip yang dimuat dari server yang dikendalikan pelaku ancaman ("jscdnpack[.]com"), yang secara khusus menargetkan struktur halaman yang umum di beberapa bank.

Diduga malware tersebut dikirimkan ke target dengan cara lain, misalnya melalui email phishing atau malvertising.

Saat korban mengunjungi situs web bank, halaman login diubah untuk memasukkan JavaScript berbahaya yang mampu mengambil kredensial dan kata sandi satu kali (OTP). Naskahnya dikaburkan untuk menyembunyikan maksud sebenarnya.

“Web injection ini tidak menargetkan bank dengan halaman login berbeda, namun mengirimkan data tentang mesin yang terinfeksi ke server dan dapat dengan mudah dimodifikasi untuk menargetkan bank lain,” kata Langus.

"Perilaku skrip sangat dinamis, terus-menerus menanyakan server perintah-dan-kontrol (C2) dan struktur halaman saat ini dan menyesuaikan alirannya berdasarkan informasi yang diperoleh."

Respons dari server menentukan tindakan selanjutnya, memungkinkannya untuk menghapus jejak suntikan, dan memasukkan elemen antarmuka pengguna palsu untuk menerima OTP untuk melewati perlindungan keamanan serta memperkenalkan pesan kesalahan yang mengatakan layanan perbankan online tidak akan tersedia untuk jangka waktu 12 jam.

IBM mengatakan ini adalah upaya untuk mencegah korban masuk ke akun mereka, memberikan peluang bagi pelaku ancaman untuk mengambil kendali atas akun dan melakukan tindakan tidak sah.

Meskipun asal muasal malware ini belum diketahui secara pasti, indikator kompromi (IoCs) menunjukkan adanya kemungkinan adanya hubungan dengan keluarga pencuri dan pemuat yang dikenal sebagai DanaBot, yang telah disebarkan melalui iklan berbahaya di Google Penelusuran dan telah bertindak sebagai pelaku kejahatan siber.

“Ancaman canggih ini menunjukkan kemampuan tingkat lanjut, khususnya dalam mengeksekusi serangan man-in-the-browser dengan komunikasi dinamis, metode injeksi web, dan kemampuan beradaptasi berdasarkan instruksi server dan status halaman saat ini,” kata Langus.

Perkembangan ini terjadi ketika Sophos memberikan penjelasan lebih lanjut mengenai skema pemotongan babi di mana target potensial dibujuk untuk berinvestasi dalam layanan penambangan likuiditas palsu, mengungkap serangkaian penipuan yang lebih luas yang telah menjaring para pelaku cryptocurrency senilai hampir $2,9 juta pada tahun ini per November.

“Mereka tampaknya dijalankan oleh tiga kelompok aktivitas ancaman terpisah menggunakan situs aplikasi penipuan keuangan terdesentralisasi ('DeFi') yang identik, menunjukkan bahwa mereka adalah bagian dari atau berafiliasi dengan satu jaringan kejahatan terorganisir [Tiongkok],” kata peneliti keamanan Sean Gallagher kepada The Hacker News.

Menurut data yang dibagikan oleh Europol dalam Internet Organized Crime Threat Assessment (IOCTA) awal pekan ini, penipuan investasi dan penipuan email bisnis (BEC) tetap menjadi skema penipuan online yang paling produktif.

“Ancaman yang mengkhawatirkan seputar penipuan investasi adalah penggunaannya yang dikombinasikan dengan skema penipuan lainnya terhadap korban yang sama,” kata badan tersebut.

“Penipuan investasi terkadang dikaitkan dengan penipuan percintaan: penjahat perlahan-lahan membangun hubungan kepercayaan dengan korban dan kemudian meyakinkan mereka untuk menginvestasikan tabungan mereka pada platform perdagangan mata uang kripto yang menipu, yang menyebabkan kerugian finansial yang besar.”

Dalam catatan terkait, perusahaan keamanan siber Group-IB mengatakan telah mengidentifikasi 1.539 situs web phishing yang menyamar sebagai operator pos dan perusahaan pengiriman sejak awal November 2023. Situs tersebut diduga dibuat untuk satu kampanye penipuan.

Dalam serangan ini, pengguna dikirimi pesan SMS yang meniru layanan pos terkenal dan diminta mengunjungi situs web palsu untuk memasukkan rincian pribadi dan pembayaran mereka, dengan alasan pengiriman mendesak atau gagal.

Operasi ini juga terkenal karena menggabungkan berbagai metode penghindaran agar tidak terdeteksi radar.

Hal ini termasuk membatasi akses ke situs web penipuan berdasarkan lokasi geografis, memastikan bahwa situs tersebut hanya berfungsi pada perangkat dan sistem operasi tertentu, dan memperpendek durasi penayangannya.

“Kampanye ini mempengaruhi merek pos di 53 negara,” kata Group-IB. “Sebagian besar halaman phishing yang terdeteksi menargetkan pengguna di Jerman (17,5%), Polandia (13,7%), Spanyol (12,5%), Inggris (4,2%), Turki (3,4%) dan Singapura (3,1%).”[]