Llamado InTheBox, ha estado ofreciendo más de 400 inyecciones web personalizadas
Los investigadores de seguridad cibernética han arrojado luz sobre un mercado de darknet llamado InTheBox que está diseñado para atender específicamente a los operadores de malware móvil.
El actor detrás de la tienda criminal, que se cree que estuvo disponible desde al menos enero de 2020, ha estado ofreciendo más de 400 inyecciones web personalizadas agrupadas por geografía que pueden ser compradas por otros adversarios que buscan montar sus propios ataques.
"La automatización permite que otros malos actores creen órdenes para recibir las inyecciones web más actualizadas para una mayor implementación en el malware móvil", dijo Resecurity.
"InTheBox puede considerarse el más grande y probablemente el único en su categoría de mercado que proporciona inyecciones web de alta calidad para tipos populares de malware móvil".
Las inyecciones web son paquetes utilizados en el malware financiero que aprovechan el vector de ataque del adversario en el navegador (AitB) para servir código HTML o JavaScript malicioso en forma de una pantalla superpuesta cuando las víctimas inician una aplicación bancaria, criptográfica, de pagos, de comercio electrónico, de correo electrónico o de redes sociales.
Estas páginas generalmente se asemejan a una página web de inicio de sesión bancaria legítima y solicitan a los usuarios involuntarios que ingresen datos confidenciales, como credenciales, datos de tarjetas de pago, números de Seguro Social (SSN), valor de verificación de la tarjeta (CVV) que luego se utilizan para comprometer la cuenta bancaria y realizar fraudes.
Se puede acceder a InTheBox a través de la red de anonimato Tor y anuncia una variedad de plantillas de inyección web para la venta, y solo se puede acceder a la lista después de que el administrador investigue al cliente y active la cuenta.
Las inyecciones web se pueden comprar por $ 100 al mes o como un nivel "ilimitado" que permite al comprador generar una cantidad ilimitada de inyecciones durante el período de suscripción. Los costos del plan unlim varían entre $2.475 y $5.888, según los troyanos admitidos.
Algunos de los troyanos bancarios de Android que son compatibles con el servicio incluyen Alien, Cerberus, ERMAC (y su sucesor MetaDroid), Hydra y Octo, dijo la compañía de ciberseguridad con sede en California.
"La mayoría de las inyecciones de alta demanda están relacionadas con los servicios de pago, incluida la banca digital y los intercambiadores de criptomonedas", dijeron los investigadores. "Durante noviembre de 2022, el actor organizó una actualización significativa de cerca de 144 inyecciones que mejoraron su diseño visual".
El desarrollo se produce cuando Cyble reveló una nueva operación de malware como servicio (MaaS) llamada DuckLogs que se comercializa por $ 69.99 para un acceso de por vida, brindando a los actores de amenazas la capacidad de recopilar información confidencial, secuestrar transacciones de criptomonedas y controlar las máquinas de forma remota.
