La agencia de ciberseguridad californiana Resecurity ha descubierto un nuevo mercado destinado a cibercriminales en la red Tor. Esta plataforma, llamada InTheBox, ha estado disponible desde principios de mayo de 2020 y permite a sus usuarios generar y utilizar inyecciones web (web injects).

«No hay duda de que InTheBox puede considerarse la mayor y probablemente única plataforma de su categoría capaz de proveer inyecciones web de alta calidad para los tipos de malware móvil más populares.»

Resecurity

Hispasec ha comprobado que actualmente la plataforma de malware como servicio (MaaS) sigue en funcionamiento.

¿Cómo funciona?

Las inyecciones web o web injects son un tipo de ataques MitB (Man in the Browser) en los que se introduce código HTML o JavaScript sobre una página web antes de que el navegador la renderice, aprovechando las vulnerabilidades del propio navegador. Como consecuencia, la víctima no ve lo que la página web tal cual se la devuelve al servidor, sino que su contenido queda maliciosamente alterado.

Este tipo de ataques ya resultó exitoso en PC con malware como SpyEye, Zeus y Gozi. Sin embargo, ahora los actores maliciosos son capaces de integrar sus ataques en dispositivos móviles. Esto les permitiría interceptar credenciales bancarias, direcciones de correo electrónico, contraseñas y otra información identificadora más fácilmente. Por ello, la mayoría de las inyecciones web que pueden comprarse a través de InTheBox están dirigidas a dispositivos Android.

¿Cuánto cuesta?

Los precios de las inyecciones web son a menudo menores que otros troyanos para móviles. Hay más de 400 inyecciones de calidad profesional a la venta a precios de entre 50 y 200 dólares, dependiendo de la popularidad del servicio. Con ellos es posible suplantar a empresas de comercio electrónico, instituciones financieras, agencias de redes sociales y sistemas de pago en al menos 45 países. Esto incluye países como Reino Unido, Estados Unidos, Brasil, Canadá, Colombia, Arabia Saudí, México, Baréin, Singapur y Turquía, así como organizaciones como Amazon, PayPal y Bank of America. También es posible personalizar las inyecciones en respuesta a cambios estructurables de los sitios web o aplicaciones legítimos.

Por otro lado, los recientemente añadidos planes ilimitados («unlim») permiten generar una cantidad ilimitada de inyecciones. Con ello se minimiza la interacción manual entre la plataforma y el usuario y se simplifica la personalización del malware. Los precios se encuentran a partir de 2.475$ y varían según los troyanos soportados.

¿Cómo se gestiona un ataque?

Los operadores del mercado negro de inyecciones web mantienen una estrecha relación con los desarrolladores de las familias de malware más importantes, tales como Ermac, Cerberus, Octo, Hydra, MetaDroid o Alien.

Una vez la víctima ha sido infectada con éxito con uno de estos programas y sus credenciales hayan sido enviadas a un servidor de comando y control (C&C), los operadores de malware pueden ejecutar distintos comandos para realizar distintas acciones en el dispositivo de la víctima, dependiendo de la familia de malware utilizada. Los comandos incluyen «Enviar SMS», «Obtener lista de SMS» o «Redirigir llamada», que pueden usarse para suplantar el sistema de confirmación de transacciones de los bancos. También es posible utilizar varias inyecciones a la vez, como en el siguiente ejemplo:

Más información:

• https://www.hackread.com/dark-web-webinject-market-in-the-box/
• https://resecurity.com/blog/article/in-the-box-mobile-malware-webinjects-marketplace
• https://thehackernews.com/2022/12/darknets-largest-mobile-malware.html
• https://securityaffairs.co/wordpress/139310/cyber-crime/dark-web-mobile-malware-marketplace.html