Une nouvelle menace cybernétique sévit, mettant en péril la sécurité financière de milliers d’usagers de banques à travers le monde. Un malware sophistiqué, agissant par injection de code JavaScript, cible actuellement plus de 50 000 clients dans une campagne de piratage d’envergure. Cette attaque vise principalement les détenteurs d’appareils macOS, soulevant des inquiétudes quant à la vulnérabilité de cette plateforme.
Le déroulement de l’attaque
La campagne, lancée en mars 2023, démontre une planification minutieuse de la part des attaquants, débutant dès décembre 2022 avec l’acquisition de noms de domaines destinés à héberger des scripts malveillants. Les équipes de sécurité d’IBM rapportent que les pirates ont réussi à compromettre les données bancaires de clients provenant de 40 banques réparties en Amérique du Nord, en Amérique du Sud, en Europe et au Japon.
Étape 1 : Infection Initiale
L’attaque débute par l’infection initiale des appareils des victimes, bien que le rapport d’IBM ne précise pas les mécanismes exacts employés par les pirates. Il est plausible que le processus commence par une opération de hameçonnage, une méthode courante dans de telles attaques, comme le démontre l’exemple d’hôtels ayant perdu leurs comptes sur des plateformes comme Booking.
Étape 2 : Injection du Script Java Malveillant
Une fois que la victime visite les sites compromis, le malware entre en action en injectant un script Java malveillant dans le navigateur de la machine infectée. Ce script s’avère être capable d’enregistrer les identifiants associés aux sites bancaires, mais surtout, il intercepte les mots de passe à usage unique (OTP).
Conséquences et préoccupations
Cette campagne soulève des préoccupations majeures quant à la sécurité des informations financières, mettant en exergue la nécessité d’une vigilance accrue de la part des utilisateurs et des institutions financières. Alors que les experts en sécurité travaillent à contenir cette menace, il est impératif que les utilisateurs adoptent des pratiques sécuritaires, telles que l’utilisation de logiciels de sécurité fiables et la sensibilisation aux tactiques de phishing.
Cette attaque démontre une fois de plus l’évolution constante des cybermenaces et la nécessité continue d’adaptation des mesures de sécurité pour protéger les utilisateurs contre de telles attaques sophistiquées.
Méthodes d’Infiltration sophistiquées
La sophistication de cette campagne de piratage réside dans la procédure discrète par laquelle les scripts sont chargés depuis un serveur distant. Cette technique ingénieuse permet aux pirates d’éviter la détection, d’autant plus que le script malveillant utilise des domaines légitimes pour passer inaperçu.
De surcroît, le code du malware s’adapte en permanence aux instructions du serveur de commande. Il envoie des mises à jour et reçoit des réponses spécifiques qui guident son activité sur l’appareil piraté. Avec neuf variables combinables permettant d’effectuer diverses actions, cet outil redoutable offre aux pirates la possibilité d’exfiltrer des données de manière efficace.
Un lien troublant avec danaBot
Les chercheurs en cybersécurité ont découvert un lien entre cette nouvelle campagne et le redoutable cheval de Troie bancaire, DanaBot. Ce dernier s’était récemment propagé par le biais de fausses publicités sur Google, prétendant promouvoir le logiciel de visioconférence Cisco Webex. Cependant, ces publicités dissimulaient en réalité le malware dans l’installateur du programme.
L’utilisation de tactiques similaires soulève des inquiétudes quant à la sophistication croissante des attaques en ligne. La connexion entre ces deux campagnes souligne l’importance pour les utilisateurs de rester constamment informés sur les menaces actuelles et de renforcer leurs pratiques de sécurité numérique pour contrecarrer ces attaques toujours plus élaborées.
