Um ator de ameaça até então não documentado, apelidado de Boolka, foi observado comprometendo sites com scripts maliciosos para entregar um trojan modular chamado BMANAGER. Segundo os pesquisadores, os autores desta campanha vêm realizando ataques de injeção SQL contra sites em diversos países desde pelo menos 2022.

Nos últimos três anos, os atores de ameaças têm infectado sites vulneráveis com scripts JavaScript maliciosos capazes de interceptar qualquer dado inserido no site infectado. Boolka recebe seu nome do código JavaScript inserido no site que envia um sinal para um servidor de comando e controle chamado “boolka[.]tk” sempre que um visitante desavisado acessa o site infectado.

O JavaScript também é projetado para coletar e exfiltrar entradas e interações do usuário em um formato codificado em Base64, indicando o uso do malware para capturar detalhes sensíveis como credenciais e outras informações pessoais.

Além disso, redireciona os usuários para uma página de carregamento falsa que solicita às vítimas que baixem e instalem uma extensão de navegador, quando, na verdade, ele baixa um carregador para o trojan BMANAGER, que, por sua vez, tenta buscar o malware a partir de uma URL codificada.O framework de entrega do malware é baseado no framework BeEF.