Исследователи кибербезопасности пролили свет на торговую площадку в Darknet под названием «InTheBox», созданную специально для операторов мобильного вредоносного ПО.
Злоумышленник, стоящий за теневым рынком, который, как считается, работает по крайней мере с января 2020 года, предлагает более 400 кастомных веб-инъекций, сгруппированных по географическому признаку, которые могут быть приобретены другими хакерами, желающими организовать собственные атаки.
«Автоматизация позволяет другим злоумышленникам создавать заказы на получение самых актуальных веб-инъекций для дальнейшего внедрения в мобильные вредоносные программы» - говорится в сообщении Resecurity.
«InTheBox можно назвать крупнейшим и, вероятно, единственным в своей рыночной категории поставщиком высококачественных веб-инъекций для популярных типов мобильных вредоносных программ».
Веб- инъекции - это пакеты, используемые в финансовых вредоносных программах, которые используют вектор атаки adversary-in-the-browser (AitB) для предоставления вредоносного HTML или JavaScript кода в виде оверлейного экрана при запуске жертвой банковского, криптовалютного, платежного приложения, приложения электронной коммерции, электронной почты или социальных сетей.
Эти страницы обычно похожи на легитимную веб-страницу входа в банк и побуждают пользователей ввести конфиденциальные данные, такие как учетные данные, данные платежных карт, номера социального страхования (SSN), проверочные значения карты (CVV), которые затем используются для компрометации банковского счета и проведения мошенничества.
InTheBox доступен через сеть Tor и предлагает различные шаблоны веб-инъекций, причем листинг доступен только после того, как покупатель будет проверен администратором.
Веб-инъекции можно приобрести либо за 100 долларов в месяц, либо по тарифу «анлим», который позволяет покупателю генерировать неограниченное количество инъекций в течение периода подписки. Стоимость тарифного плана анлим варьируется от $2 475 до $5 888 в зависимости от поддерживаемых троянов.
Некоторые из банковских троянов для Android, поддерживаемых сервисом, включают Alien, Cerberus, ERMAC (и его преемник MetaDroid), Hydra, и Octo, сообщила калифорнийская компания по кибербезопасности.
«Большинство популярных инъекций связано с платежными сервисами, включая цифровой банкинг и криптовалютные обменники» - отметили исследователи. «В течение ноября 2022 года владелец магазина провел значительное обновление около 144 инъекций, улучшив их визуальный дизайн».
Новость появилась на фоне того, как Cyble раскрыла новую операцию вредоносного ПО как услуги (MaaS) под названием DuckLogs, которое продается за 69,99 долларов за пожизненный доступ, предоставляя злоумышленникам возможность собирать конфиденциальную информацию, перехватывать криптовалютные транзакции и удаленно управлять машинами.
Источник: https://thehackernews.com
