Антивирусная компания ESET обнаружила новы троян, который использует новый способ кражи средств со счетов банка. Троян BackSwap работает с графическим интерфейсом Windows, и создает имитацию нажатия клавиш, что позволяет ему быть не замеченным, обойдя защиту вашего браузера.
Чтобы получить доступ к счету жертвы, обычные трояны внедряют в процессы браузера вредоносный код. С его помощью троян отслеживает посещение сайтов интернет-банков, чтобы затем изменить НТТР-трафик или перенаправить жертву на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода. Кроме того, вирусописатели вынуждены разрабатывать свою схему атаки для каждой версии браузера и менять тактику с выходом новых версий.
Авторы BackSwap избавились от этой проблемы тривиальным, но эффективным способом. Троян не внедряет код в процессы браузера. Вместо этого он «узнает», когда пользователь заходит в онлайн-банк, с помощью событий Windows в цикле ожидания сообщений. Обнаружив работу с интернет-банком, троян внедряет вредоносный код в веб-страницу через консоль разработчика в браузере или в адресную строку.
Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. Когда процесс завершен, адресная строка будет очищена, чтобы скрыть следы компрометации.
BackSwap поддерживает атаки на Google Chrome и Mozilla Firefox, в последних версиях появилась поддержка Internet Explorer. Метод подходит для большинства браузеров с консолью разработчика или возможностью выполнения кода JavaScript из адресной строки (это стандартные функции браузера). Троян не требует специальных привилегий в системе и не зависит от версии браузера.
«BackSwap доказывает, что в противостоянии между индустрией безопасности и вирусописателями не всегда нужна новая сложная техника и тактика. Браузеры усиливают защиту от внедрения кода, поэтому авторы малвари переходят к другим схемам атак, и в BackSwap реализована только одна из них». — комментирует Михал Послушны, вирусный аналитик ESET
В настоящее время BackSwap используется в атаках на пользователей пяти польских банков: PKO Bank Polski, Bank Zachodni WBK S.A., mBank, ING и Pekao. Его «интересуют» переводы крупных сумм – от 10 000 до 20 000 польских злотых (168 000–337 000 рублей).
Список потенциальных жертв может быть расширен, а новый способ обхода защитных механизмов – использован другими кибергруппами.
Антивирусные продукты ESET детектируют новую угрозу как Win32/BackSwap.A.