Resecurity已在暗网中确定了一个新的地下市场,该市场面向移动恶意软件开发人员和运营商。
网络犯罪分子利用“In the Box”暗网市场攻击43个国家/地区的300多家金融机构(FI)、支付系统、社交媒体和在线零售商。
Resecurity是一家总部位于加利福尼亚的网络安全公司,为主要的财富500强公司提供保护,它在暗网中发现了一个新的地下市场,该市场面向移动恶意软件开发者和运营商。该市场被称为“InTheBox”,至少从2020年5月开始运营,网络犯罪分子就可以在TOR网络中使用,但是从那时起,它已经从一个私人运营的网络犯罪服务转变为当今以其庞大的数量而闻名的最大市场,因为它有大量的独特工具和所谓的WEB-injects提供给大家销售。
这种恶意方案是由欺诈者故意开发的,用于网上银行盗窃和金融欺诈。Web-injects被集成到移动恶意软件中,以拦截银行凭证、支付系统、社交媒体和电子邮件提供商的凭证,但还不止于此,这些恶意工具还收集其他敏感信息,如信用卡信息、地址详细信息、电话和为传统的基于PC的恶意软件(如Zeus、Gozi和SpyEye)设计的Web-injects。后来,网络犯罪分子成功地将相同的方法应用于移动设备,因为现代数字支付在涉及到消费者使用的移动应用程序时是极其相互关联的。
据Resecurity的专家称,已确定的“In The Box ”市场现在可以自豪地称为涉及移动设备的银行盗窃和欺诈的最大和最重要的催化剂。可用恶意武器库的质量、数量和范围突出了调查结果的重要性。目前,网络犯罪分子提供了超过1849个恶意方案供出售,这些方案是为美国、英国、加拿大、巴西、哥伦比亚、墨西哥、沙特阿拉伯、巴林、土耳其和新加坡等超过45个国家的主要金融机构、电子商务、支付系统、在线零售商和社交媒体公司而设计的。。网络犯罪分子针对的受支持组织包括亚马逊、贝宝、花旗、美国银行、富国银行、星展银行等。在2022年11月期间,该组织安排了一次重大的更新,有接近144个注入程序(injects),并改进了它们的外观设计。
“IntheBox”市场背后的运营商与主要移动恶意软件家族的开发者密切相关,包括Alien、Cerberus、Ermac、Hydra、Octopus(又名“Octo”)、Poison和MetaDroid。网络罪犯分子以2500美元至7000美元不等的订阅费用租用移动恶意软件,在某些情况下,还要求地下供应商为特定服务或应用程序开发专门设计的注入程序,以确保在移动设备上成功窃取凭据。此类恶意方案的设计与其对应的合法应用程序相同,但包含拦截受害者登录名和密码的虚假表单。除此之外,移动恶意软件使犯罪分子能够拦截银行通过短信发送的2FA代码,或重定向包含验证详细信息的来电。随着时间的推移,移动银行的恶意软件市场已经变得非常成熟,大多数暗网行为者不再出售它,他们已经转向潜在的租赁,或私人使用它。
每年,面向移动设备的恶意软件数量呈指数增长。根据独立研究,几乎每5个移动设备用户中就有1个可能受到移动恶意软件的威胁。不良行为者利用巧妙的策略绕过反欺诈过滤器并进行银行盗窃,以确认所有验证码而不看起来可疑——使用超过限制的金额并将其分批发送。典型的银行盗窃金额在每个消费者5000-15000美元和每个企业50000-250000美元之间,具体取决于规模和业务活动。总的来说,在2022年,欺诈造成的损失超过56亿美元。结合其他类型的欺诈,如商业电子邮件泄露、洗钱和投资诈骗,形成了一个巨大的影子经济,有数万亿美元的资金在地下流通。
“网络犯罪分子比以往任何时候都更加关注移动设备,因为没有它们,现代数字支付是不可能的。成功破坏移动恶意软件网络和相关的网络犯罪服务对于保护世界各地的金融机构和消费者至关重要”——Resecurity公司首席技术官(CTO)Christian Lees说。“随着新冠疫情流行后世界欺诈活动的快速增长,不法分子继续升级他们的工具库,以攻击主要金融机构(FI)、电子商务平台和在线市场的客户,使他们能够从即将到来的圣诞节和新年假期中获益。根据Resecurity®在2022年第四季度收集的统计数据,数字取证和事件响应(DFIR)对来自多个地区的财富500强公司进行了调查,包括北美、亚太、拉丁美洲和中东及北非(MENA)。网络犯罪分子在攻击移动设备并利用获得的访问权限进行进一步的未授权访问和金融盗窃时特别成功。”他补充说。
移动银行恶意软件传播背后的催化剂是由Resecurity的HUNTER部门发现的,该部门与国际执法机构和行业合作伙伴密切合作,通过追捕背后的参与者来调查网络犯罪活动。
架构、生态系统、行为者概况和获得的恶意场景背后的情报已经与FS-ISAC和谷歌安全团队共享,因此防御者可以开发签名和战术来正确保护移动用户。“InTheBox”支持的大多数移动恶意软件都针对使用Google Android的设备,这就是为什么与Google安全团队主动共享情报将促进加强消费者保护,在即将到来的圣诞节和冬季假期,由于在线交易和支付的增加,被称为欺诈活动的高峰期,节省数百万美元。