Nuevo malware Fakext apunta a bancos latinoamericanos


Este artículo fue contribuido por Itzhak Chimino, Michael Gal y Liran Tiebloom.

Las extensiones del navegador se han convertido en una parte esencial de su experiencia en línea. Desde herramientas de productividad hasta complementos de entretenimiento, estos pequeños módulos de software brindan funciones personalizadas según sus gustos personales. Lamentablemente, las extensiones también pueden resultar útiles para usuarios malintencionados.

Los atacantes pueden aprovechar las propiedades ventajosas de los complementos, como la persistencia, la instalación perfecta, la escalada de privilegios y la exposición de datos no cifrados, para distribuir y manipular los troyanos bancarios.

En noviembre de 2023, los investigadores de seguridad de IBM Security Trusteer descubrieron un nuevo malware generalizado llamado Fakext que utiliza extensiones de Edge maliciosas para realizar ataques de inyección web y de hombre en el navegador.

Esto es lo que los expertos cibernéticos necesitan saber sobre los diferentes ataques llevados a cabo por campañas y extensiones de Fakext. Finalmente, discutiremos algunos indicadores de compromiso (IOC) y guías de solución para este malware.

Campaña de fakext dirigida a América Latina

Desde principios de noviembre de 2023, nuestro equipo ha visto más de 35.000 sesiones infectadas. La mayoría de ellos proceden de América Latina (LATAM), y un número menor de Europa y América del Norte. El gran número de sesiones infectadas indica que la campaña tiene mucho éxito y está muy extendida. También hemos observado que cuando Fakext inyecta contenido como mensajes de error, formularios de usuario y notificaciones en su pantalla, aparecen en español.

La lista de bancos objetivo extraída del cargador inicial incluye 14 bancos que operan en LATAM, principalmente en México. Además, el cargador está programado para dejar de ejecutar código si el sitio web actual no coincide con el objetivo especificado. Estas observaciones generales indican que esta variante está diseñada para apuntar específicamente a los bancos de LATAM. Sin embargo, el método utilizado aquí es genérico y podría representar una amenaza para otras regiones con sólo cambios menores en el contenido. Ya conocemos casos pasados ​​en los que malware originado en América Latina migró a España y luego se extendió a otras partes de Europa.

Paso 1: infección

El único propósito de esta extensión es proporcionar un mecanismo persistente para inyectar scripts en las páginas HTML de la víctima.

El script del cargador se recupera de uno de los muchos servidores de comando y control (C2) mantenidos por el actor de amenazas y se ejecuta en el contexto de la página actual. Además del tráfico HTTP normal, Fakext utiliza la interfaz de programación de aplicaciones (API) de Telegram como otro canal de comunicación con su servidor C2. El estado actual de la inyección y las capturas de pantalla también se envían mediante Telegram.

Fakext descarga la biblioteca huellas dactilaresJS como un recurso externo legítimo de una red de entrega de contenido (CDN) oficial y la utiliza para generar la identificación de usuario de la víctima. La huella digital del navegador se agrega como un atributo de documento HTML llamado “fkr-client-uid” para indicar que la extensión está instalada y ejecutándose.

Luego, el script del cargador busca el ID antes mencionado y la URL de la página actual para ver si es uno de los bancos objetivo y recupera módulos adicionales según los resultados.

Hay dos módulos principales que Fakext ejecuta en el sitio de destino.

Un capturador de formularios que registra todos los campos de entrada en una página. Superposiciones que insertan contenido en páginas para cambiar el comportamiento de las víctimas y aumentar las oportunidades de cometer más fraudes.

Paso 2: Evasión

Este malware intenta ocultar el tráfico de red utilizando nombres de dominio aparentemente legítimos similares a CDN y marcos conocidos como:

rápido fi[.]sbs (como Fastify)[.]io) jschecks[.]es cdn[.]activos js[.]sbs javascript12[.]com Fastificar[.]Elfakar[.]Obrero[.]desarrollo

Para obtener una lista completa de los COI, visite Consulte la sección del COI a continuación.

Los actores de amenazas utilizan a los trabajadores de Cloudflare para distribuir inyecciones web. La extensión en sí (que actualmente cuenta con más de 10,000 usuarios) se anuncia como una herramienta para facilitar el uso del Portal SAT, el sitio web de la agencia tributaria del gobierno de México.

Figura 1: página de extensión SATiD en la tienda Edge

Fakext también utiliza técnicas antidepuración comunes que ya se han visto en inyecciones web anteriores. La ofuscación del código, la anulación de funciones nativas y el uso de secciones de código deliberadas diseñadas para bloquear las herramientas de desarrollo hacen que el código sea aún más difícil de detectar y analizar.

Paso 3: Intercepción

Fakext ejecuta un capturador de formularios genérico en la página actual, conectando todos los campos de entrada y escuchando eventos de entrada. Cuando se presiona una tecla, todo el elemento de entrada, incluido el estilo, ID, tipo y valor, se envía al servidor C2.

Además, se envía la URL de la página actual, lo que permite a los estafadores saber el tipo exacto y el propietario de las credenciales robadas.

Para un objetivo determinado con una estructura de página HTML e ID de elementos conocidos, solo se intercepta la entrada relevante. Estos campos se identifican mediante ID específicos codificados en el script, lo que indica que una inyección particular está personalizada específicamente para un objetivo particular.

Figura 2: Ejemplo de solicitud GET con datos filtrados

Paso 4: robo de datos

Para algunos objetivos de la lista, Fakext utiliza diferentes vectores de ataque. En ese caso, inserte una superposición en la página que coincida con el estilo de la página actual y evite que el usuario continúe con su comportamiento normal.

La ventana emergente pretende ser del soporte de TI del banco, solicitando al usuario que descargue una herramienta de acceso remoto (RAT) legítima y proporcionando al estafador las credenciales de la herramienta.

Figura 3: Solicitud de instalación del “software de seguridad” antes de continuar con las operaciones bancarias.

El resto de la página aparece atenuado y no responde, y no puedo eliminar el mensaje.

Figura 4: Instrucciones sobre cómo descargar e instalar TeamViewer.

Figura 5: Las instrucciones reconocen las credenciales que debe proporcionar la víctima.

Esta inyección proporciona información sobre el estado actual de la superposición, como qué página emergente está viendo el usuario, qué página bancaria está viendo el usuario (antes o después de iniciar sesión) y qué tipo de RAT ha instalado el usuario. servidor.

La capacidad de inyectar credenciales RAT, conocimiento del usuario, estado de la aplicación bancaria y páginas específicas (como una página de contraseña de un solo uso (OTP) falsa) en la pantalla de una víctima permite a los estafadores robar transacciones y otros tipos de transacciones financieras. puede cometer fraude.

Figura 6: Entrada de token falso.

Las medidas de seguridad nativas, como la política de seguridad de contenido (CSP), los certificados de capa de conexión segura (SSL) y las restricciones de uso compartido de recursos entre orígenes (CORS), no pueden remediarse mediante extensiones del navegador, ya que esta amenaza las anula.

Las víctimas no tienen idea de que se ha inyectado contenido externo y toda la superposición parece ser una medida de seguridad legítima.

Además, a menudo se presentan formularios opcionales de información de tarjetas de crédito para un mayor robo de datos.

Figura 7: Página de carga de soporte de TI

Figura 8: Formulario de robo de tarjetas de crédito.

Signos comunes de compromiso

La investigación de IBM Trusteer detectó el siguiente COI como un texto falso.

dominio

hxxps://fastify.elfaker.workers.dev hxxps://prod.jslibrary.sbs hxxps://javascript[number].com hxxps://screen-security.com hxxps://cdn.llll.yachts hxxps://browser.internalfiles.sbs hxxps://jschecks.com hxxps://fastify.sbs

atributos del documento HTML

fkr-client-uid (atributo del elemento de documento de nivel superior)

Extensión maliciosa (tienda Edge)

https://microsoftedge.microsoft.com/addons/detail/satid/odpnfiaoaffclahakgdnneofodejhaop

Hash de archivo:

content.16a81c08.js 043bac1634491871ece146331382aaec oot.72e07fb5.js 1ef985af2759d1212c2434429b627f30 head.8de52bb6.js e8c81650adbb84b922455450 ec0 4f1d0 idle.1e56b0c2.js a42e363ed8270f280d285773ec372bd5 manifest.json 6338b852beff119e0e1e865114c1d8d1 popup.100f6462.js a9a3940107b33d5182b0d f8ae812 popup.html f71e706752c135452ae5977300bc135e index.js e97da26cfd542bfad2ee2308f5c507cb icon128.plasmo.3c1ed2d2. png 679a3338b21f46f395b2fab8b7d98 2a9 icon32.plasmo.76b92899.png 43f5015b531c12dd493d38625b7fdcdb icon48.plasmo.aced7582.png 8a137243b27abf67263e5955 ad05bf2f icon64.plasmo.8bb5e6e0.png a468cbbc8a 9aa65dadeaed52bfa44ec0 icon16.plasmo.6c567d50.png 6d109561f4809f573eb155d7c1fa41e3

Desplácese para ver la tabla completa

Reparaciones y pautas generales.

Si está instalado, elimine inmediatamente el complemento ‘SATiD’ de su navegador Edge.

Los usuarios deben tener cuidado al utilizar aplicaciones bancarias. Esto incluye comunicarse con su banco para informar actividad sospechosa en su cuenta, no descargar software de fuentes desconocidas y seguir las mejores prácticas de seguridad de contraseñas y correo electrónico.

Las aplicaciones bancarias legítimas no le pedirán que descargue una herramienta de acceso remoto y que entregue sus credenciales a otra persona. También es importante comprobar periódicamente las extensiones que ha instalado. Si ya no utiliza una extensión en particular o encuentra una extensión con la que no está familiarizado, considere eliminarla para reducir su posible superficie de ataque.

Para combatir eficazmente estas amenazas, las personas y las organizaciones deben permanecer alerta, implementar medidas de seguridad sólidas y mantenerse informados sobre el nuevo malware.

IBM Security Trusteer ayuda a detectar fraudes, autenticar usuarios y establecer confianza en las identidades a lo largo del recorrido omnicanal del cliente. Más de 500 organizaciones líderes confían en Trusteer para proteger los viajes digitales de sus clientes y respaldar el crecimiento empresarial.

Investigador de Seguridad Web – Fideicomisario, IBM

sigue leyendo



Fuente: https://securityintelligence.com/posts/fakext-targeting-latin-american-banks/