IBM 警告针对银行账户的 JavaScript 注入

昨天，IBM的网络安全研究人员发布了一份报告，介绍了他们发现的恶意软件活动。该活动利用JavaScript Web注入，窃取美洲、欧洲和日本40家银行的银行数据。

专家发现，该活动自2022年12月起就开始准备，当时获取了攻击中使用的恶意域名。该活动直到今年三月才被发现。目前，已有超过5万用户受到黑客影响。

攻击本身是通过从攻击者服务器下载的JS脚本实现的，针对许多银行常见的特定页面结构。攻击的最终目标是拦截用户凭据及其一次性密码（OTP），以登录银行系统并获得对受害者帐户的完全访问权限，包括进行未经授权的交易。

IBM表示，最初的感染可能是通过欺诈性广告或网络钓鱼发生的，但没有详细说明。然后，恶意软件会将特殊的脚本标签注入受害者的浏览器，从而生成外部脚本。这种方法增加了攻击的隐蔽性，因为简单的加载器脚本不太可能被标记为恶意。

由此产生的恶意脚本也经过伪装：例如，在活动中被视为合法的JavaScript内容交付网络。为了逃避检测，黑客使用了类似于合法“cdnjs[.]com”和“unpkg[.]com”的域名。在执行之前，该脚本还会检查受害者系统上是否存在某些防病毒产品。一切都是为了避免被发现。

值得注意的是，该脚本能够根据C2服务器的指令动态改变其行为，支持多种操作状态。

研究人员发现该活动与DanaBot（自2018年以来分发的模块化银行木马）之间存在联系。据IBM称，三月份发现的活动仍在进行中。对于面临风险的银行应用程序用户，IBM专家建议在使用电子邮件、搜索聚合器和在线银行本身时提高警惕。

封面来源于网络，如有侵权请联系删除