サイバーセキュリティ研究者は、米国最大級の銀行の一つの従業員向けストアを標的とした高度なキーロガー攻撃を発見し、20万人を超える従業員が認証情報の窃取リスクにさらされていたことが明らかになりました。
このマルウェアは、サイトのフォームに入力された内容をすべて傍受し、ログイン認証情報、決済カード番号、個人情報まで含めて取得しており、銀行内部システムへの水平展開の可能性に関する深刻な懸念を引き起こしています。
この侵害は、企業のセキュリティアーキテクチャにおける危険な盲点を浮き彫りにしています。従業員向けのECプラットフォームは、機密性の高い企業認証情報を扱っているにもかかわらず、標準的なセキュリティ監査の対象範囲外となることが少なくありません。
銀行従業員は重要な金融システムへの高い権限を日常的に有しているため、外部プラットフォームでの認証情報の収集は、銀行インフラへの初期侵入の足がかりを狙う脅威アクターにとって高価値の標的となります。
この攻撃は、専用のEC脅威インテリジェンスによって検知された一方で、一般的なセキュリティソリューションは脅威を完全に見逃していました。
検知時点でVirusTotalでは、97社のセキュリティベンダーのうち悪性インフラを検知したのは1社のみで、EC特有の攻撃ベクトルに対する検知ギャップが浮き彫りになりました。
さらに、銀行が業界標準のsecurity.txtファイルを通じてセキュリティ連絡先情報を公開していなかったため、インシデント対応は一層複雑化し、責任ある情報開示に不要な摩擦を生みました。
メールおよびLinkedInで直ちに通知を試みたにもかかわらず、適切なセキュリティ窓口がないことが復旧対応の遅延につながりました。
このマルウェアは、静的解析を回避するために高度な2段階ローダー構成を採用していました。初期ペイロードは文字コードの難読化を用いて、ユーザーがチェックアウトページに到達したかどうかを確認したうえで、js-csp.com/getInjector/ から第2段階の収集スクリプトを読み込みました。
第2段階では、入力フィールド、セレクトメニュー、テキストエリアを含むすべてのフォームデータを体系的に抽出し、その後、セキュリティ制御を回避するために画像ビーコンのリクエストを介して盗まれた認証情報を流出させました。
この攻撃パターンは、グリーンベイ・パッカーズを標的としたキャンペーンで以前に特定されたインフラと一致します。これは過去12か月で検知された5件目のgetInjectorキャンペーンです。
js-csp.comドメインは2025年のクリスマス直前に登録され、Sansecは展開から数週間以内に侵害を検知しました。
従業員向けストアを運営する組織は、この新たな攻撃対象領域に対処するため、直ちにクライアントサイドスクリプトの監視を実装し、社内ECプラットフォームをセキュリティ監査の対象範囲に含め、専用のEC脅威検知機能を導入すべきです。
翻訳元: https://cyberpress.org/malware-targets-us-bank-employees-login-credentials/