“InTheBox” es el nombre del mercado automatizado más grande detectado hasta el momento en la llamada web oscura o dark web. Según informa cyware.com, los “productos” en venta están diseñados específicamente para operadores de malware móvil y se ofrecen en una plataforma similar a cualquier portal de compras de Internet.
“InTheBox” está disponible en la red TOR y ofrece una lista de webinjects para la venta solo después de la activación exitosa de la cuenta a través de la comunicación Jabber o Telegram.
Una vez dentro de la plataforma, se pueden encontrar plantillas personalizadas para familias de malware que admiten inyecciones web utilizados de forma independiente o en combinación para ejecutar con éxito el robo de datos. Según los expertos, Alien, Cerberus, Ermac, Hydra, Octopus, Poison y MetaDroid son las familias de malware más extendidas que admiten webinjects.
Hay más de 400 inyecciones web disponibles, desarrolladas profesionalmente y dirigidas a servicios de pago, la banca digital y los intercambios de criptomonedas. Es posible, además, acceder a varios planes de tarifas que permiten a los atacantes generar varias inyecciones web para procesos de personalización de malware durante el período de suscripción.
Los operadores de la plataforma cambian constantemente y organizan inyecciones web de acuerdo con los últimos diseños y actualizaciones de aplicaciones móviles legítimas para que las intrusiones parezcan convincentes.
Ya se han reportado ataques a más de 300 instituciones financieras, sistemas de pago, redes sociales, medios digitales y minoristas en línea en 43 países. Mientras que los servicios de InTheBox están disponibles en más de 28 naciones, como en los Estados Unidos y el Reino Unido, incluidas, Argentina, Austria, Australia, Bélgica, Brasil, Canadá, Chile, India y otros.
La investigación realizada por Resecurity Hunter rastrea las primeras actividades de “InTheBox” a comienzos de 2020, cuando ofrecía inyecciones web de manera privada, pero después de ganar cierta reputación, escaló a un mercado automatizado totalmente producido.
Los expertos han reportado que en el último tiempo los ataques cibernéticos a aplicaciones móviles han sido más exitosos en comparación con otras amenazas, han comprometido estas aplicaciones y abusaron de ellas para obtener acceso a otras actividades maliciosas.
Cómo funcionan estas inyecciones web
Según explica Resecurity Hunter, los llamados "Webinjects" son módulos o paquetes personalizados utilizados en malware que generalmente inyectan código HTML o JavaScript en el contenido antes de que se procese en un navegador web. El resultado es la alteración de lo que el usuario ve en su navegador, a diferencia de lo que de hecho está siendo enviado por el servidor.
En la práctica, esto es completamente invisible en la interfaz, ya que la inyección web interpretará un diseño idéntico de páginas legítimas de servicios populares. Técnicamente, la tasa de éxito del robo bancario depende de la calidad de la inyección web y la estabilidad del malware móvil.
Resecurity Hunter advierte de que las instituciones financieras se verán obligadas a fortalecer sus herramientas de protección de fraudes, porque los ciberatacantes puede eludir fácilmente los sistemas de detección de amenazas y controlar los dispositivos de las víctimas. Una vez que esto sucede, los piratas pueden interceptar códigos OTP, mensajes SMS entrantes y llamadas telefónicas para extraer información confidencial, incluido el historial de llamadas y las listas de contactos para cometer robos bancarios, entre otras intrusiones y delitos.