Ricercatori di cybersicurezza hanno fatto luce su un mercato darknet chiamato InTheBox, progettato per soddisfare specificamente gli operatori di malware mobile. L’attore dietro la vetrina criminale, che si ritiene sia disponibile almeno da gennaio 2020, ha offerto oltre 400 iniezioni web personalizzate raggruppate per area geografica che possono essere acquistate da altri avversari che desiderano sferrare i propri attacchi. “L’automazione consente ad altri malintenzionati di creare ordini per ricevere le web injection più aggiornate da implementare ulteriormente nel malware mobile”, ha dichiarato Resecurity. “InTheBox può essere definito il più grande e probabilmente l’unico nella sua categoria di mercato a fornire web inject di alta qualità per i più diffusi tipi di malware mobile”. I Web Injects sono pacchetti utilizzati nel malware finanziario che sfruttano il vettore di attacco adversary-in-the-browser (AitB) per servire codice HTML o JavaScript dannoso sotto forma di schermata in sovrimpressione quando le vittime avviano un’applicazione bancaria, crittografica, di pagamento, di e-commerce, di posta elettronica o di social media. Queste pagine tipicamente assomigliano a una pagina web di login di una banca legittima e spingono gli utenti inconsapevoli a inserire dati riservati come credenziali, dati della carta di pagamento, numeri di previdenza sociale (SSN), valore di verifica della carta (CVV) che vengono poi utilizzati per compromettere il conto bancario e condurre frodi.
InTheBox è accessibile attraverso la rete di anonimato Tor e pubblicizza una varietà di modelli di web inject in vendita, con l’elenco accessibile solo dopo che un cliente è stato controllato dall’amministratore e l’account è stato attivato. Le iniezioni web possono essere acquistate per 100 dollari al mese o come livello “unlim” che consente all’acquirente di generare un numero illimitato di iniezioni durante il periodo di abbonamento. I costi per il piano unlim variano da 2.475 a 5.888 dollari, a seconda dei trojan supportati. Alcuni dei trojan bancari Android supportati dal servizio sono Alien, Cerberus, ERMAC (e il suo successore MetaDroid), Hydra e Octo, ha dichiarato l’azienda californiana di cybersicurezza.
“La maggior parte delle iniezioni ad alta richiesta è legata ai servizi di pagamento, tra cui il digital banking e gli scambiatori di criptovalute”, hanno dichiarato i ricercatori. “Nel corso del mese di novembre 2022, l’attore ha predisposto un aggiornamento significativo di quasi 144 injects, migliorandone il design visivo”. Lo sviluppo arriva mentre Cyble ha rivelato una nuova operazione di malware-as-a-service (MaaS) denominata DuckLogs, commercializzata a 69,99 dollari per un accesso a vita, che offre agli attori delle minacce la possibilità di raccogliere informazioni sensibili, dirottare le transazioni di criptovaluta e comandare in remoto le macchine.
