ΑρχικήsecurityΤο Fakext malware στοχεύει τράπεζες της Λατινικής Αμερικής

Το Fakext malware στοχεύει τράπεζες της Λατινικής Αμερικής

Από τις αρχές Νοεμβρίου 2023, η IBM Security Trusteer έχει δει πάνω από 35.000 μολυσμένες συσκευές από το Fakext malware, κυρίως από τράπεζες της Λατινικής Αμερικής (LATAM) και λιγότερες από την Ευρώπη και τη Βόρεια Αμερική. Τον μεγάλο αριθμό των μολυσμένων συνεδριών υποδεικνύει μια εξαιρετικά επιτυχημένη και ευρεία εκστρατεία. Επίσης, παρατήρησαν ότι όταν το Fakext ενσωματώνει περιεχόμενο στην οθόνη, όπως μηνύματα σφαλμάτων, φόρμες χρήστη και ειδοποιήσεις, εμφανίζοναι στα Ισπανικά.

Δείτε επίσης: Σοβαρή κυβερνοεπίθεση στην Κεντρική Τράπεζα του Λεσότο

Fakext malware

Η λίστα των τραπεζών που επηρεάζονται από το Fakext malware περιλαμβάνει 14 τράπεζες που λειτουργούν στη Λατινική Αμερική, ιδιαίτερα στο Μεξικό. Επιπλέον, ο φορτωτής είναι προγραμματισμένος να διακόψει την εκτέλεση κώδικα, εάν η τρέχουσα ιστοσελίδα δεν ταιριάζει με τους καθορισμένους στόχους. Αυτές οι συλλογικές παρατηρήσεις υποδεικνύουν έντονα ότι αυτή η παραλλαγή σχεδιάστηκε ειδικά για να επικεντρωθεί στις τράπεζες στη Λατινική Αμερική. Ωστόσο, οι μέθοδοι που χρησιμοποιούνται είναι γενικές και, με μικρές αλλαγές στο περιεχόμενο, θα μπορούσαν να αποτελέσουν απειλή για άλλες περιοχές. Έχουμε ήδη ενημερωθεί για προηγούμενες περιπτώσεις όπου κακόβουλο λογισμικό που προέρχεται από τη Λατινική Αμερική έχει μεταβεί στην Ισπανία και στη συνέχεια διαδοθεί σε άλλα μέρη της Ευρώπης.

Ο μοναδικός σκοπός της επέκτασης είναι να παρέχει ένα μόνιμο μηχανισμό για την ενσωμάτωση scripts στην HTML σελίδα του θύματος.

Το Fakext malware προσπαθεί να κρύψει την δικτυακή του κίνηση με φαινομενικά νόμιμα ονόματα domain που είναι παρόμοια με γνωστά CDNs και πλαίσια, όπως:

  • fasitify[.]sbs (like fastify[.]io)
  • jschecks[.]com
  • cdn[.]jsassets[.]sbs
  • javascrip12[.]com
  • fastify[.]elfaker[.]workers[.]dev

Δείτε ακόμα: Η Τράπεζα ICBC πλήρωσε για να τερματίσει την επίθεση ransomware

τράπεζες Λατινική Αμερική

Ο κακόβουλος χρήστης χρησιμοποιεί τους λειτουργούς της Cloudflare για τη διανομή των ενσωματωμένων ιστοσελιδομετρήσεων. Η επέκταση η ίδια (η οποία έχει πάνω από 10.000 χρήστες επί του παρόντος) περιγράφει τον εαυτό της ως ένα εργαλείο που βοηθά στη διευκόλυνση της χρήσης της πύλης του SAT του Μεξικού, η οποία είναι η ιστοσελίδα μιας κυβερνητικής φορολογικής υπηρεσίας.

Το Fakext malware εκτελεί ένα γενικού τύπου grabber στην τρέχουσα σελίδα που συνδέεται με όλα τα πεδία εισόδου και περιμένει για μια είσοδο. Μόλις πατηθεί ένα πλήκτρο, ολόκληρο το στοιχείο εισόδου, συμπεριλαμβανομένου του στυλ, του αναγνωριστικού, του τύπου και της τιμής, στέλνεται στον διακομιστή C2.

Οι φυσικές μέθοδοι ασφαλείας, όπως η πολιτική ασφαλείας περιεχομένου (CSP), τα πιστοποιητικά ασφαλείας Secure Socket Layer (SSL) ή οι περιορισμοί του Cross-Origin Resource Sharing (CORS), δεν αντιμετωπίζουν αυτήν την απειλή επειδή η επέκταση του προγράμματος περιήγησης τα παρακάμπτει.

Δείτε επίσης: Industrial & Commercial Bank of China (ICBC): “Χτυπήθηκε” από ransomware

Ποιες είναι οι σύγχρονες μέθοδοι προστασίας από malware;

Μια από τις σημαντικότερες μεθόδους προστασίας από malware, όπως το Fakext είναι η χρήση ενός αξιόπιστου λογισμικού προστασίας. Επιπλέον, η εκπαίδευση των χρηστών σχετικά με τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι για τη διάδοση του malware είναι ζωτικής σημασίας. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την ανοιχτή πρόσβαση σε ύποπτα emails ή τη λήψη αρχείων από μη αξιόπιστες πηγές. Η χρήση της τεχνολογίας firewall είναι επίσης μια αποτελεσματική μέθοδος προστασίας από malware. Τέλος, η τακτική δημιουργία αντιγράφων ασφαλείας των σημαντικών αρχείων και δεδομένων είναι μια άλλη σημαντική μέθοδος προστασίας. Αυτό μπορεί να βοηθήσει στην αποκατάσταση των δεδομένων σε περίπτωση που το σύστημα προσβληθεί από malware.

Πηγή: securityintelligence

Absenta Mia
Absenta Miahttps://secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS