Eset виявила троян, який використовує новий спосіб крадіжки коштів із банківських рахунків
Eset виявила троян, який використовує новий спосіб крадіжки коштів з банківських рахунків
Eset виявила троян, який використовує новий спосіб крадіжки коштів із банківських рахунків. BackSwap працює з елементами графічного інтерфейсу Windows та імітує натискання клавіш, щоб уникнути детектування та обійти захист браузера.
Щоб отримати доступ до рахунку жертви, звичайні трояни впроваджують у процеси браузера шкідливий код. З його допомогою троян відстежує відвідування сайтів інтернет-банків, щоб потім змінити НТТР-трафік або перенаправити жертву на фішинговий сайт. Це складне завдання, оскільки антивірусні продукти та захисні механізми браузера розпізнають таке використання коду. Крім того, вірусописачі змушені розробляти свою схему атаки для кожної версії браузера та змінювати тактику з виходом нових версій.
Автори BackSwap позбулися цієї проблеми тривіальним, але ефективним способом. Троян не впроваджує код у процеси браузера. Натомість він «дізнається», коли користувач заходить до онлайн-банку, за допомогою подій Windows у циклі очікування повідомлень. Виявивши роботу з інтернет-банком, троян впроваджує шкідливий код у веб-сторінку через консоль розробника у браузері або адресний рядок.
Так, щоб впровадити скрипт в адресний рядок, BackSwap імітує натискання комбінацій клавіш: CTRL+L для вибору адресного рядка, DELETE для очищення поля, CTRL+V для вставки шкідливого скрипту та ENTER для його виконання. Коли процес завершено, адресний рядок буде очищено, щоб приховати сліди компрометації.
Проста на перший погляд схема дозволяє оминати просунуті механізми захисту від комплексних атак.
BackSwap підтримує атаки на Google Chrome та Mozilla Firefox, в останніх версіях з'явилася підтримка Internet Explorer. Метод підходить для більшості браузерів із консоллю розробника або можливістю виконання коду JavaScript з адресного рядка (це стандартні функції браузера). Троян не вимагає спеціальних привілеїв у системі та не залежить від версії браузера.
BackSwap доводить, що у протистоянні між індустрією безпеки та вірусописачами не завжди потрібна нова складна техніка та тактика. Браузери посилюють захист від впровадження коду, тому автори малварі переходять до інших схем атак, і в BackSwap реалізовано лише одну з них.
В даний час BackSwap використовується в атаках на користувачів п'яти польських банків: PKO Bank Polski, Bank Zachodni WBK S.A., mBank, ING та Pekao. Його «цікавлять» перекази великих сум – від 10 000 до 20 000 польських злотих (168 000–337 000 рублів).
Список потенційних жертв може бути розширений, а новий спосіб обходу захисних механізмів – використаний іншими кібергрупами.
Антивірусні продукти Eset детектують нову загрозу як Win32/BackSwap.A.
