Source : Sansec Forensics Team (Threat Research), avis publié le 15 janvier 2026. Sansec rapporte avoir détecté un keylogger sur la boutique de produits dérivés destinée aux employés d’une des trois plus grandes banques américaines, active environ 18 heures avant retrait.
-
L’attaque consiste en un keylogger/skimmer JavaScript côté client sur une boutique e‑commerce interne utilisée par 200 000+ employés. Le malware intercepte toutes les données de formulaire (identifiants, informations personnelles, numéros de cartes). Sansec souligne un écart de détection: au moment de la publication, 1/97 moteurs sur VirusTotal détectaient l’infrastructure malveillante.
-
Enjeux : les employés de banque peuvent réutiliser leurs identifiants d’entreprise, risquant un accès initial aux systèmes internes. Les sites d’employés et portails similaires échappent souvent aux audits classiques et reposent sur des plates-formes e‑commerce bien connues des attaquants.
-
Fonctionnement technique (TTPs) 🛠️ :
- Chargeur en deux étapes. Étape 1 : script obfusqué (String.fromCharCode) vérifiant si l’URL contient « checkout », puis injection d’un script distant depuis https://js-csp.com/getInjector/.
- Étape 2 : collecte de tous les champs (input, select, textarea), y compris la valeur ou le texte sélectionné; gestion des doublons via suffixes « #n ».
- Exfiltration par balise image (beacon) vers https://js-csp.com/fetchData/?data=
&loc= , avec payload Base64 et en-tête crossOrigin.
-
Liens avec des campagnes antérieures 🕵️ : motifs de code et d’infrastructure concordants avec une attaque précédente (ex. contre les Green Bay Packers), partageant le schéma d’URL /getInjector/. Domaine js-csp.com enregistré le 23 déc. 2025. Sansec a détecté l’attaque le 14 janv. 2026 15:24 UTC, notifié l’institution à 15:30 UTC; malware confirmé actif le 15 janv. 09:00 UTC; l’avis est publié et le retrait du malware observé le 15 janv.
-
IOCs 📍 :
- Infrastructure principale : js-csp.com | https://js-csp.com/getInjector/ | https://js-csp.com/fetchData/
- Modèle d’exfiltration :
https://js-csp.com/fetchData/?data=<base64>&loc=<origin> - Infrastructures liées (campagne « getInjector ») : artrabol.com, js-stats.com, js-tag.com, jslibrary.net (tous avec chemins /getInjector/ et /fetchData/)
-
Timeline ⏱️ :
- 23 déc. 2025 : enregistrement de js-csp.com
- 14 janv. 2026 15:24 UTC : détection
- 14 janv. 2026 15:30 UTC : notification au client
- 15 janv. 2026 09:00 UTC : malware toujours actif
- 15 janv. 2026 : publication de l’avis et retrait constaté
Il s’agit d’une publication de recherche visant à documenter une compromission active, fournir des IOCs et décrire les techniques employées par l’attaquant.
🧠 TTPs et IOCs détectés
TTP
Keylogger/skimmer JavaScript côté client, chargeur en deux étapes avec script obfusqué, injection de script distant, collecte de données de formulaire, exfiltration par balise image (beacon) avec payload Base64, en-tête crossOrigin.
IOC
Domaine: js-csp.com, URL: https://js-csp.com/getInjector/, https://js-csp.com/fetchData/, Modèle d’exfiltration: https://js-csp.com/fetchData/?data=
🔗 Source originale : https://sansec.io/research/keylogger-major-us-bank-employees