InTheBox というダークウェブ:金融サービスを標的とする Web インジェクションを提供

Darknet’s Largest Mobile Malware Marketplace Threatens Users Worldwide

2022/12/06 TheHackerNews — InTheBox と呼ばれるダークネット・マーケットプレイスの存在を、サイバーセキュリティ研究者たちが明らかにした。このマーケットプレイスは、2020年1月ころから利用されていたと見られている。ここでは、地域ごとに分類された 400 以上のカスタム Web インジェクションが提供されており、独自の攻撃を試みる攻撃者たちが購入できるようになっている。Resecurity は、「自動化を施したサービスにより、ユーザーである攻撃者たちは、モバイル・マルウェアに実装する最新の Web インジェクションを取得できる。この InTheBox は、モバイル・マルウェア用の高品質 Web インジェクションを提供する市場として、最大かつ唯一のものと言えるかもしれない」と述べている。

Web インジェクションとは、主に金融マルウェアのために使用されるパッケージである。AitB (adversary-in-the-browser) 攻撃ベクターを活用し、被害者たちが銀行/暗号/決済/電子商取引/電子メール/ソーシャルメディアなどのアプリを起動する際に、オーバーレイ画面の形で悪質な HTML/ JavaScript コードを注入する。

一般的に、それらの悪意のページは、正規の銀行のログインページに似せて作られており、認証情報/支払いカードデータ/社会保障番号 (SSN:Social Security numbers)/カード検証値 (CVV:card verification value) などの機密データを、ユーザーに疑わせることなく入力させる。そして、入力されたデータは、銀行口座を侵害し詐欺行為を行うために悪用される。

Mobile Malware Marketplace


InTheBox は、Tor という匿名ネットワークを経由してアクセスが可能であり、また、さまざまな Web インジェクション・テンプレートを販売している。ただし、管理者の審査を受けてアカウントが有効化されないと、そのリストにアクセスできないようになっている。

この Web インジェクション・サービスは、1ヶ月 $100 で購入できる。また、“unlim” プランを購入すれば、契約期間中に無制限にインジェクションを取得できる。この unlim プランのコストは、サポートされるトロイの木馬に応じて、$2,475〜$5,888 の間で変動するという。

InTheBox でサポートされている Android バンキング型トロイの木馬には、Alien/Cerberus/ ERMAC (後継の MetaDroid)/Hydra/Octo などが含まれると、Resecurity は述べている。

同社の研究者たちは、「需要の高いインジェクションの大部分は、デジタル・バンキング/暗号通貨交換機などの決済サービスに関連するものだ。2022年11月に、InTheBox のオペレーターたちは、ビジュアル・デザインを改善するために、それぞれのインジェクションに対して 144件ほどのアップデートを行った」と述べている。

このグループが明るみに出たのは、DuckLogs という新しい Malware-as-a-Service (MaaS) を、Cyble が公開したことに起因している。DuckLogs では、無期限アクセス権が $69.99 で販売されており、機密情報の窃取/暗号通貨取引のハイジャック/デバイスの遠隔操作などの機能が、脅威アクターに提供される。

InTheBox も DuckLogs も、ある種の Malware-as-a-Service (MaaS) であり、最近の流行の InfoStealer でもあるのでしょう。脅威アクターにサービスを提供するダークウェブが、ものすごい勢いで多様化/細分化されている状況が浮かび上がってきます。最近のバンキング・マルウエアとしては、9月4日の「Google Play に侵入/潜伏する SharkBot:狙いはバンキング・ログイン情報の窃取」や、10月28日の「Google Play に5つの危険なドロッパー・アプリ:銀行口座や暗号通貨ウォレットが狙われている」、11月22日の「Sharkbot バンキング・トロイの木馬:Android ファイル・マネージャーとして再登場」などがあります。よろしければ、Banking で検索も、ご利用ください。

%d bloggers like this: