È stato osservato un gruppo di criminali informatici di lingua russa che combinano potenti malware per il furto di informazioni con domini con errori di battitura per rubare (si apre in una nuova scheda) i dettagli di accesso per i siti bancari. La campagna è stata rilevata dagli esperti di sicurezza informatica Hold Security e segnalata da KrebsOnSecurity.
Secondo il rapporto, il gruppo noto come The Disneyland Team prende di mira le persone infette da un potente malware bancario chiamato Gozi 2.0 (noto anche come Ursnif), che può rubare dati del computer, raccogliere ID utente e informazioni finanziarie e distribuire malware aggiuntivo.
Ma Gozi da solo non basterà più, in quanto i produttori di browser hanno introdotto negli anni diverse misure di sicurezza per negarlo. Ma è qui che entra in gioco il typequatting: la creazione di siti Web di phishing con nomi di dominio che sono errori di ortografia comuni su siti legittimi.
Gozi ebreo
Secondo KrebsOnSecurity: “Negli anni precedenti, truffatori come questi hanno utilizzato 'iniezioni web' personalizzate per manipolare ciò che le vittime di Gozi vedono nei loro browser web quando visitano il sito della loro banca.
Questi potrebbero quindi "copiare e/o intercettare tutti i dati inseriti dagli utenti in un modulo web, come nome utente e password. Tuttavia, la maggior parte dei produttori di browser web ha impiegato anni ad aggiungere protezioni di sicurezza per bloccare queste attività nefaste".
Quindi, per utilizzare Gozi, gli aggressori hanno anche aggiunto falsi siti bancari su domini con errori di battitura. Esempi di tali domini includono ushankcom (rivolto a persone che scrivono male usbank.com) o ạmeriprisẹcom (rivolto a persone che visitano ameriprise.com).
Noterai dei puntini sotto le lettere a ed e, e se pensassi che fosse polvere sullo schermo, non saresti il primo a cascarci. Tuttavia, queste non sono specifiche, ma lettere cirilliche che il browser traduce in latino.
Pertanto, quando la vittima visita questi siti Web di banche fasulle, si sovrappongono al malware, che trasmette tutto ciò che la vittima digita al sito Web della banca reale, conservandone una copia per sé.
In questo modo, quando il sito Web della banca reale ritorna con una richiesta di autenticazione a più fattori (MFA), anche il sito Web falso lo richiederà, rendendo inutile l'autenticazione MFA.
Via: KrebsOnSecurity (si apre in una nuova scheda)