Resecurity, società di sicurezza informatica con sede in California che protegge le principali aziende Fortune 500, ha identificato un nuovo marketplace nel Dark Web orientato agli sviluppatori e agli operatori di mobile malware, noto come “InTheBox”.
Le prime menzioni di “InTheBox” sono state identificate a gennaio 2020 ed è stato disponibile per i criminali informatici nella rete TOR almeno dall’inizio di maggio 2020. Da allora si è trasformato da un servizio per criminali informatici che opera privatamente nel più grande mercato conosciuto oggi per il suo numero di strumenti unici e di webinject offerte in vendita. Questi scenari dannosi sono appositamente sviluppati da truffatori e utilizzati per furti bancari online e frodi finanziarie.
Le webinject sono integrate nel malware mobile per intercettare credenziali bancarie, sistemi di pagamento, social media e credenziali del provider di posta elettronica, nonché raccolgono anche altre informazioni sensibili come dati sulla carta di credito, dettagli dell’indirizzo, telefono e altre informazioni personali. Questa tendenza deriva dagli attacchi “Man in The Browser” (MiTB) e dalle WEB-inject progettati per malware tradizionali basati su PC come Zeus, Gozi e SpyEye. Successivamente, i criminali informatici hanno applicato con successo lo stesso approccio ai dispositivi mobili in quanto i moderni pagamenti digitali sono estremamente interconnessi quando si tratta di applicazioni mobili utilizzate dai consumatori.
Secondo gli esperti di Resecurity, il mercato identificato “In The Box” può ora essere definito il più grande e significativo catalizzatore di furti bancari e frodi che coinvolgono dispositivi mobili in relazione alla qualità, quantità e spettro dell’arsenale dannoso disponibile.
“IntheBox”è disponibile nella rete TOR. L’amministratore del marketplace richiede anche il controllo di nuovi clienti. Dopo l’attivazione dell’account, il marketplace offrirà un elenco di webinject disponibili per la vendita.
Gli esperti sottolineano e ricordano che la quasi totalità di essi possa essere utilizzata per l’intercettazione di credenziali da qualsiasi servizio a cui la vittima possa tentare di accedere utilizzando il proprio dispositivo mobile oltre all’online banking. Il criminale informatico può quindi utilizzare i dati rubati da tali dispositivi per scopi dannosi.
“Per facilitare l’intercettazione delle credenziali di successo, i malintenzionati utilizzano i cosiddetti “Webinjects”, moduli o pacchetti personalizzati utilizzati nel malware che in genere iniettano codice HTML o JavaScript nel contenuto prima che venga visualizzato su un browser web. Di conseguenza, i webinject possono alterare ciò che l’utente vede sul proprio browser, al contrario di ciò che viene effettivamente inviato dal server”, comunicano gli esperti.
Attualmente, i criminali informatici offrono in vendita oltre 1.849 scenari dannosi, progettati per le principali istituzioni finanziarie, e-commerce, sistemi di pagamento, rivenditori online e società di social media di oltre 45 paesi tra cui Stati Uniti, Regno Unito, Canada, Brasile, Colombia, Messico, Arabia Arabia, Bahrein, Turchia e Singapore. Le organizzazioni supportate prese di mira dai criminali informatici includono Amazon, PayPal, Citi, Bank of America, Wells Fargo, DBS Bank, ecc.
Gli operatori dietro “IntheBox” sono strettamente collegati agli sviluppatori delle principali famiglie di malware mobile tra cui Alien, Cerberus, Ermac, Hydra, Octopus (alias “Octo”), Poison e MetaDroid. I criminali informatici affittano malware mobile sulla base di una tariffa basata su abbonamento che va da $ 2.500 a $ 7.000 e in alcuni casi incaricano fornitori clandestini di sviluppare iniezioni appositamente progettate per particolari servizi o applicazioni per garantire il successo del furto di credenziali sui dispositivi mobili. Tali scenari dannosi sono progettati in modo identico alle loro controparti legittime, ma contengono moduli falsi che intercettano gli accessi e le password della vittima. Inoltre, il malware mobile consente ai criminali di intercettare il codice 2FA inviato tramite SMS dalla banca o di reindirizzare una chiamata in arrivo contenente dettagli di verifica.
Gli esperti spiegano che esistono diversi fornitori sotterranei che sviluppano webinject: il monitoraggio dell’ultimo design e degli aggiornamenti delle app mobili legittime rende i loro attacchi estremamente efficienti. Il prezzo è in genere inferiore al malware mobile stesso e varia tra $ 50 e $ 200 per inject a seconda della popolarità del FI. In genere, include anche il supporto di base e l’eventuale personalizzazione nel caso in cui l’app mobile cambi. La fascia di prezzo del malware mobile varia e con il recente passaggio all’affitto e alle operazioni private, l’iniezione può superare i 5.000 $ al mese o il modello basato su commissioni sfruttate con pagamenti da furti riusciti condivisi tra l’operatore di malware e gli sviluppatori.
Proprio di recente “InTheBox” ha implementato una nuova tariffa chiamata “unlim” che permette ai criminali informatici di generare un numero illimitato di webinject durante il periodo di abbonamento. Tale modello consente di ridurre al minimo le interazioni manuali e umane con gli operatori del mercato, semplificando i processi di personalizzazione del malware. In base al piano prescelto, altri operatori di malware possono creare ordini sulle inject o sullo sviluppo personalizzato.
“InTheBox” fornisce diversi modelli di webinject per varie famiglie di malware mobile che vengono utilizzati indipendentemente o in combinazione per eseguire con successo il furto di dati:
- Modello “Dati di autorizzazione”
- Modello “Chiedi solo PIN”
- Modello “Con dati Carta di Credito”
- Modello “Con dati Carta di Credito + PIN Bancomat”
- Modello “Chiedi dati completi”
Oggi, “InTheBox” fornisce l’accesso a oltre 400 webinject sviluppati professionalmente classificati per area geografica e target.
La maggior parte delle inject ad alta richiesta è correlata a servizi di pagamento, tra cui banche digitali e cryptocurrency exchangers. Nel novembre 2022 l’attore ha organizzato un aggiornamento significativo di quasi 144 inject migliorandone il design visivo.
“I criminali informatici si stanno concentrando più che mai sui dispositivi mobili, perché i moderni pagamenti digitali sono impossibili senza di essi. L’interruzione riuscita delle reti di malware mobile e dei servizi di criminalità informatica associati è fondamentale per proteggere le istituzioni finanziarie e i consumatori in tutto il mondo“, ha affermato Christian Lees, Chief Technology Officer (CTO) di Resecurity. “Con la rapida crescita delle attività fraudolente nel nostro mondo post-pandemia, i malintenzionati continuano ad aggiornare il proprio arsenale di strumenti per attaccare i clienti delle principali istituzioni finanziarie (FI), piattaforme di e-commerce e mercati online, consentendo loro di beneficiare dell’imminente Natale e Vacanze di Capodanno”. “I criminali informatici hanno particolarmente successo quando attaccano i dispositivi mobili e sfruttano l’accesso ottenuto per ulteriori accessi non autorizzati e furti finanziari”. – Ha aggiunto.
“Non c’è dubbio, “In The Box” può essere definito il più grande e probabilmente l’unico nella sua categoria di mercato che fornisce webinject di alta qualità per i tipi più diffusi di malware mobile. Si prevede che i criminali informatici continueranno ad aggiornare i propri strumenti per attaccare i consumatori e inizieranno a sviluppare anche webinject più avanzati. Ad oggi, “In the Box” è sfruttato dai criminali informatici per attaccare oltre 300 istituzioni finanziarie (FI), sistemi di pagamento, social media e rivenditori online in 43 paesi”, conclude l’analisi di Resecurity.
https://securityaffairs.co/wordpress/139310/cyber-crime/dark-web-mobile-malware-marketplace.html
https://resecurity.com/blog/article/in-the-box-mobile-malware-webinjects-marketplace
