BackSwap scoperto un innovativo trojan bancario

Di recente i ricercatori di ESET (famoso produttore di software per la sicurezza digitale) hanno individuato un nuovo trojan bancario, denominato BackSwap, che impiega tecniche innovative per aggirare le protezioni dei browser e dirottare i bonifici bancari delle vittime.

Come funziona BackSwap?

BackSwap utilizza un approccio completamente diverso dai trojan bancari che abbiamo imparato a conoscere come Didex, Ursnif, Trickbot, Obot e Zbot poiché; invece di interagire con i browser a livello di processo, questo trojan registra funzioni di “hook” per eventi di Windows relativi all’interfaccia utente dell’applicazione, tra i quali ad esempio:

EVENT_OBJECT_FOCUS, EVENT_OBJECT_SELECTION ED EVENT_OBJECT_NAMECHANGE.

Sfruttando questi eventi, il trojan è in grado di capire quando un browser si connette a specifici URL di home bancking.

BackSwap l'innovativo trojan bancario

una volta individuato il bersaglio, il trojan carica nel browser il codice JavaScript malevole corrispondente, permettendo ad esso di sostituire il codice del conto del destinatario con quello del cyber criminale.

Nello specifico sfrutta una vulnerabilità della gestione dei protocolli JavaScript nella barra degli indirizzi, simulando tutti i movimenti di tastiera necessari per scrivere il codice direttamente nella barra degli indirizzi e mandarlo in esecuzione.

Quali sono i browser vulnerabili?

BackSwap è in grado di aggirare tutti i browser che utilizzano una console JavaScript o implementano l’esecuzione di JavaScript dalla barra degli indirizzi, entrambe funzionalità standard dei browser utilizzati in media dagli utenti.

Backswap

Tra i quali troviamo browser noti come Google Chrome, Mozilla Firefox e Internet Explorer.

Come si diffonde BackSwap?

Il primo esemplare di Win32/BackSwap.A è stato individuato lo scorso 13 marzo, distribuito nell’ambito di campagne di email fraudolente ai danni di polacchi.

I messaggi di spam utilizzati in queste campagne contenevano un allegato malevole contente JavaScript altamente offuscato, identificato come una variante del Trojan downloader Nemucod.

Cliccando sull’allegato malevole si scaricava nel PC della vittima una versione modificata di un’applicazione apparentemente legittima contenente il payload del trojan, progettato in modo da confondere la vittima e rendere più difficile l’individuazione.

Tra le applicazioni utilizzate per nascondere BackSwap troviamo: TPVCGateway, SQLMon, DbgView, WinRAR Unistaller, 7Zip, OllyDbg e FileZilla Server.

Chi è colpito da questo trojan?

Al momento BackSwap ha colpito unicamente gli utenti di cinque banche polacche, ma secondo l’equipe di ESET, potrebbe in futuro ampliare il proprio raggio di azione, prendendo di mira le banche di altri paesi europei.

Come difenderci da questa minaccia?

L’unico modo per difenderci è tenere aggiornati il sistema operativo e tutte le applicazioni che abbiamo installato su di esso, con particolare attenzione all’antivirus.

Inoltre bisogna evitare di scaricare ed avviare allegati di cui non si è certi della provenienza dei file.

Eventuali misure di sicurezza contro il pagamento non autorizzato, come l’autenticazione a due fattori; non saranno d’aiuto in questo caso poiché la transazione risulterà già autenticata.

Indicatori di infezione

  1. 9BC4C1D5403DDD90712CE87225490A21D1EDC516 => JS/Nemucod.EAN trojan;
  2. CF5A74C268661501156663F74CD5E20603B0F261 => Win32/BackSwap.A trojan;
  3. 6251F9AD0E5F551AC4A6B918EF366E86C4CCFDC4 => Win32/BackSwap.A trojan;
  4. 2DC9760A7C6E9D261C73EFB7B2604840734BC058 => Win32/BackSwap.A trojan;
  5. A68901D0D8C1247FF280F9453E3AE45687C57566 => Win32/BackSwap.A trojan (JavaScript)

Per maggiori informazioni o per dire la propria opinione al riguardo puoi lasciare un commento qui sotto.

COMMENTS

DISQUS: 0