Крупнейший даркнет-маркет InTheBox продаёт тысячи фишинговых форм «за копейки»

Магазин InTheBox продвигает на российских киберпреступных форумах веб-инжекты для кражи учетных данных и конфиденциальной информации из банковских приложений, криптокошельков и приложений электронной коммерции.

Веб-инжекты совместимы с различными банковскими троянами для Android и имитируют популярные приложения крупных организаций, используемые практически на всех континентах. Как правило, мобильные банковские трояны проверяют, какие приложения присутствуют на зараженном устройстве, и извлекают из C2-сервера веб-инжекты, соответствующие определённым приложениям. Когда жертва запускает целевое приложение, вредоносное ПО автоматически загружает оверлей, имитирующий интерфейс легитимного продукта.

Магазин InTheBox

Согласно анализу Cyble, по состоянию на январь 2023 года InTheBox продаёт следующие пакеты веб-инжектов:

• 814 веб- инжектов, совместимых с Alien , ERMAC , Octopus и MetaDroid за $6512;
• 495 веб- инжектов, совместимых с Cerberus , за $3960;
• 585 веб-инжектов, совместимых с Hydra, за $4680.

Для тех, кто не хочет покупать целые пакеты, InTheBox также продает веб-инжекты по отдельности по $30 за штуку. Магазин также позволяет пользователям заказывать веб-инжекты индивидуально для любых вредоносных программ.

Пакеты веб-инжектов InTheBox включают PNG-значки приложений и HTML-файл с кодом JavaScript, который собирает учетные данные жертвы и другие конфиденциальные данные. В большинстве случаев инжекты имеют второй оверлей, который просит пользователя ввести номер кредитной карты, дату истечения срока действия и номер CVV. Cyble утверждает, что инжекты InTheBox проверяют действительность номеров кредитных карт с помощью алгоритма Луна (Luhn algorithm), который отфильтровывает неверные данные. Затем украденные данные преобразуются в строку и отправляются на сервер, контролируемый злоумышленником.

Код шаблона наложения (слева) и скрипт для проверки номера карты (справа)

InTheBox продает веб-инжекты для Android с февраля 2020 года, постоянно добавляя новые страницы, нацеленные на большее количество банков и финансовых приложений. Эксперты Cyble подтвердили, что веб-инжекты InTheBox использовались троянами « Coper » и « Alien » в 2021 и 2022 году соответственно. Доступность веб-инжектов в таком количестве и по низким ценам позволяет киберпреступникам сосредоточиться на других частях своих кампаний, разработке вредоносного ПО и расширении своей атаки на другие регионы.

Эксперты Resecurity, которые впервые обнаружили этот даркнет-рынок, назвали InTheBox крупнейшим и наиболее значимым источником банковских краж и мошенничества с использованием мобильных устройств. Большинство мобильных вредоносных программ, поддерживаемых InTheBox, ориентированы на Android устройства.