Специалисты компании Resecurity рассказали о новом маркетплейсе InTheBox, который ориентирован на операторов мобильных вредоносов. Площадка работает в даркнете с начала 2020 года и предлагает покупателям более 400 кастомных веб-инжектов, сгруппированных по географическому признаку.

«Такая автоматизация позволяет злоумышленникам создавать заказы на получение актуальных веб-инжектов для дальнейшего внедрения в мобильные вредоносные программы. InTheBox можно назвать крупнейшим и, вероятно, единственным в своей категории маркетплейсом, который предоставляет качественные веб-инжекты для популярных типов мобильных вредоносных программ», — пишут исследователи.

В данном случае веб-инжекты представляю собой пакеты, используемые финансово ориентированными вредоносами для атак типа adversary-in-the-browser (AitB, «противник-в-браузере»). То есть предоставляют вредоносный HTML или JavaScript для оверлеев, которые применяются в том случае, когда жертва работает с  банкингом, криптовалютой, платежами,  e-commerce, электронной почтой или приложениями социальных сетей.

Такие оверлеи выглядят как легитимные веб-страницы для входа и предлагают пользователям ввести конфиденциальные данные: учетные данные, данные платежной карты, номер социального страхования, CVV-код карты и так далее. В итоге все эта информация попадает в руки злоумышленников и используется для компрометации банковского счета цели или другого мошенничества.

На InTheBox продаются различные шаблоны веб-инжектов, при этом получить доступ к маркетплейсу можно только после проверки нового пользователя администрацией и активации учетной записи.

Стоимость доступа к InTheBox начинается от 100 долларов в месяц. Также можно оплатить безлимитный уровень подписки, который позволит создавать неограниченное количество инжектов, пока подписка активна. Стоимость безлимитного «тарифа» варьируется от 2475 до 5888 долларов (в зависимости от поддерживаемой малвари).

 

К примеру, веб-инжеты InTheBox поддерживают такие банкеры для Android, как Alien, Cerberus, ERMAC (и его преемник MetaDroid ), Hydra и Octo.

«Большинство популярных инжектов связаны с платежными сервисами, включая цифровой банкинг и обмен криптовалют, — рассказывают исследователи. — В ноябре 2022 года злоумышленники провели заметное обновление почти 144 инжектов, улучшив их визуальный стиль».

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии