Inyecciones Web: Una Amenaza Silenciosa que Secuestra Datos Bancarios

En el vertiginoso mundo de la ciberseguridad, las inyecciones web se erigen como una táctica sutil pero poderosa, donde los actores de amenazas infiltran código malicioso en sitios web para manipular contenido, redirigir usuarios y, en este caso específico, robar información bancaria valiosa.

Los piratas informáticos han perfeccionado esta técnica para obtener acceso a datos confidenciales, como credenciales de acceso y datos financieros. Recientemente, los investigadores de ciberseguridad de Security Intelligence han revelado que más de 50,000 usuarios fueron víctimas de ataques de inyección web que comprometieron sus datos bancarios.

Troyanos Bancarios y la Campaña Furtiva de JavaScript

En este paisaje digital, los troyanos bancarios emergen como una amenaza significativa, y la identificación de una campaña furtiva de JavaScript por parte de IBM Security Trusteer en marzo de 2023 pone de manifiesto la continua evolución de las tácticas de los ciberdelincuentes.

En esta campaña maliciosa, el vínculo específico con DanaBot aún no se ha confirmado, pero los impactos son innegables. Con más de 50,000 sesiones de usuarios afectados en más de 40 bancos distribuidos en América del Norte, Sudamérica, Europa y Japón, los piratas informáticos han logrado un alcance significativo.

Secuestro de Datos Bancarios y Modus Operandi del Ataque

La campaña amenaza con secuestrar aplicaciones bancarias populares, aprovechando dominios maliciosos activos desde principios de 2023. El script JS, empleado en la operación, apunta a estructuras de páginas específicas e inyecta contenido en momentos estratégicos.

La táctica de robo de credenciales se ejecuta a través de detectores de eventos en el botón de inicio de sesión, centrándose en los diseños bancarios comunes para comprometer y monetizar la información financiera de los usuarios.

El malware inicia la recopilación de datos tan pronto como se recupera el script, utilizando el nombre de la computadora, el ID del bot y otros indicadores de configuración como parámetros de consulta. Este enfoque sugiere una infección a nivel del sistema operativo antes de la inyección en el navegador.

El Sigiloso Modo de Operación del Malware

La solicitud GET inicial, diseñada para recuperar el script, está cuidadosamente ofuscada. El script codificado se disfraza como una sola línea con una cadena señuelo agregada, camuflándose entre el tráfico de red para parecerse a una CDN legítima. La inyección es astuta, evitando su ejecución si detecta “adrum” en la URL de la página, y la función de parcheo elimina evidencia de malware para ocultar su presencia.

El script dinámico establece comunicación con el servidor C2 (Command and Control) y ajusta sus acciones según las instrucciones recibidas y las actualizaciones de registros. La inyección, resistente y paciente, se adapta a las respuestas del servidor, asegurando la continuidad de su ejecución.

Dentro de una función anónima, el script se configura con valores predeterminados y se ajusta dinámicamente durante el tiempo de ejecución. Las acciones asincrónicas, desencadenadas por las respuestas del servidor, confunden y ocultan la naturaleza maliciosa del script.

Conclusiones y Llamado a la Vigilancia Cibernética

La narrativa de esta campaña de inyección web subraya la constante amenaza que enfrentamos en el ámbito cibernético. Las inyecciones web, en este caso dirigidas a datos bancarios, destacan la necesidad de una vigilancia continua y la implementación de medidas de seguridad proactivas.

La respuesta de la comunidad de seguridad cibernética es crucial. Los fabricantes de software y los usuarios deben colaborar para fortalecer las defensas digitales y mantenerse un paso adelante de las tácticas cada vez más sofisticadas de los piratas informáticos. La conciencia y la educación son nuestras herramientas más valiosas en la lucha contra amenazas como las inyecciones web, asegurando un entorno digital más seguro para todos.