Malware mira usuários em dezenas de bancos em todo o mundo

Um novo malware JavaScript foi observado tentando roubar credenciais das contas bancárias online dos usuários, como parte de uma campanha que teve como alvo mais de 40 instituições financeiras em todo o mundo, reportou a Redbelt Security, consultoria especializada em cibersegurança, em seu relatório que apresenta as vulnerabilidades recentemente divulgadas em sistemas de grandes corporações.

Estima-se que o cluster de atividades, que emprega injeções na Web JavaScript, tenha levado a pelo menos 50.000 sessões de usuários infectados na América do Norte, América do Sul, Europa e Japão. A IBM Security Trusteer informou que detectou a campanha em março de 2023.

A Redbelt explica que quando a vítima visita um site do banco, a página de login é alterada para incorporar JavaScript malicioso capaz de coletar as credenciais e senhas de uso único (OTPs). O roteiro é ofuscado para esconder sua verdadeira intenção.“Os ataques de malware, têm um impacto significativo nas empresas, especialmente nas instituições financeiras. Isto porque esses golpes podem comprometer a reputação das instituições, o que exige um processo longo e caro de recuperação, que envolve a identificação e correção da vulnerabilidade explorada, a limpeza dos sistemas afetados e a implementação de medidas para prevenir ataques futuros”, comenta William Amorim, especialista em cibersegurança da Redeblt Security.

O especialista também lembra de um alerta feito pela Microsoft sobre um esquema de malvertising espalhando o cactus ransomware. O ransomware aproveita iscas malvertising para implementar o DanaBot como um vetor de acesso inicial. As credenciais coletadas pelo malware são transmitidas para um servidor controlado pelo ator, que é seguido por um movimento lateral por meio de tentativas de login RDP, e pela entrega de acesso ao Storm-0216.

Leia mais: 9 tendências em cibersegurança que devem alertar empresas em 2024

“Ataques como esse demonstram a urgência de ações proativas em cibersegurança. Recomendamos que sejam feitas atualizações constantes e que os usuários sejam conscientizados sobre os riscos existentes na web. Além disso, as companhias precisam investir em soluções antimalware eficazes, restringir de forma rigorosa privilégios de acesso, fazendo monitoramento contínuo do tráfego de informações, backups regulares e avaliações de segurança para fortalecer a resiliência contra ameaças cibernéticas”, aconselha Amorim.

O relatório de ameaças da Redbelt Security também chama atenção dos usuários de iPhone para um ataque sorrateiro no modo falso de bloqueio. Considerada como nova, a técnica de adulteração pós-exploração pode ser utilizada por indivíduos mal-intencionados para realizar ataques secretos enganando visualmente um alvo e o fazendo acreditar que seu iPhone está rodando no Modo Lockdown, quando na verdade não está.

O Modo Lockdown, introduzido pela Apple no ano passado com o iOS 16, é uma medida de segurança aprimorada, que visa proteger os usuários de alto risco de ameaças digitais sofisticadas, como spyware mercenário, minimizando a superfície de ataque. O que ele não faz é impedir a execução de cargas maliciosas em um dispositivo comprometido, possibilitando que um trojan instalado nele manipule o Modo de Bloqueio e dê aos usuários uma ilusão de segurança.

Outra vulnerabilidade identificada foi no Google Chrome. O Google lançou atualizações de segurança para o navegador Chrome para resolver uma falha de dia zero de alta gravidade que, segundo a empresa, foi explorada na natureza. A vulnerabilidade, atribuída ao identificador CVE-2023-7024, pode ser explorada para resultar em falhas de programa ou execução arbitrária de código.

Os especialista da Redbelt, entretanto, apontam que nenhum outro detalhe sobre o defeito de segurança foi divulgado para evitar mais abusos, com o Google reconhecendo a existência de um exploit para CVE-2023-7024. Para mitigar o risco de ameaças, é recomendado que os usuários atualizem para a versão do Chrome 120.0.6099.129/130 para Windows e 120.0.6099.129 para macOS e Linux. Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi também são aconselhados a aplicar as correções à medida que elas se tornam disponíveis.

O relatório mensal da Redbelt Security destaca a importância crítica de priorizar a cibersegurança em um cenário global, no qual as empresas de todos os setores enfrentam desafios significativos de vulnerabilidade. A Redbelt reforça a necessidade de investir em estratégias proativas de cibersegurança a fim de proteger ativos digitais e garantir a continuidade dos negócios.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!