Troyano explota características estándar del navegador para vaciar cuentas bancarias

- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 502 veces
BackSwap inyecta JavaScript malicioso en la página web
Crear malware bancario eficaz y furtivo se está volviendo cada vez más difícil, lo que obliga a los autores de malware a idear métodos innovadores. El último estallido creativo en este segmento de malware proviene de un grupo que inicialmente ideó la criptomoneda para robar malware al reemplazar las direcciones de billetera en el portapapeles.
Acerca del malware bancario BackSwap
"Para robar dinero de la cuenta de la víctima a través de la interfaz de banca por Internet, el típico malware bancario, también conocido como banker, se inyectará a sí mismo o a su módulo bancario especializado en el espacio de direcciones de proceso del navegador", señala el investigador de malware de ESET Michal Poslušný.
El éxito de este enfoque depende de que la inyección no sea detectada por las soluciones de seguridad, los módulos que coincidan con la bitidez del navegador de destino y el módulo de banca que conecta las funciones del navegador, y su ubicación varía de un navegador a otro.
BackSwap evita el truco habitual de "inyección de proceso para supervisar la actividad de navegación". En cambio, maneja todo al trabajar con elementos de la GUI de Windows para simular la entrada del usuario.
"Esto puede parecer trivial, pero en realidad es una técnica muy poderosa que resuelve muchos 'problemas' asociados con la inyección de navegador convencional", señala el investigador.
"En primer lugar, el malware no interactúa en absoluto con el navegador en el nivel de proceso, lo que significa que no requiere ningún privilegio especial y evita el endurecimiento del navegador por parte de terceros, que generalmente se centra en los métodos de inyección convencionales. Otra ventaja para los atacantes es que el código no depende ni de la arquitectura del navegador ni de su versión, y una ruta de código funciona para todos".
BackSwap supervisa las URL visitadas, busca y detecta las URL específicas de cada banco y los títulos de las ventanas mediante el enganche de eventos de bucle de mensajes de la ventana clave.
Una vez que se detecta la actividad bancaria, el malware inyecta JavaScript malicioso en la página web, ya sea a través de la consola de JavaScript del navegador o directamente en la barra de direcciones (a través de URL de protocolo JavaScript, una característica poco utilizada compatible con la mayoría de los navegadores). También es interesante que el malware evita astutamente varias contramedidas que han implementado los fabricantes de navegadores para evitar la explotación de esa última característica.
Finalmente, el JavaScript inyectado reemplaza el número de cuenta bancaria del destinatario con el número de una cuenta abierta por los atacantes o sus mulas. Si el usuario no nota el cambio y autoriza la transacción, el ataque es exitoso.
Distribución de BackSwap
Por el momento, el malware está dirigido a clientes de cinco bancos polacos (PKO Bank Polski, Bank Zachodni WBK SA, mBank, ING y Pekao), y solo robará dinero si el monto de la transferencia bancaria está entre 10.000 y 20.000 zlotys polacos ( es decir, $ 2,800 - $ 5,600).
Los objetivos se infectan con el malware abriendo adjuntos maliciosos al correo electrónico no deseado, que contiene Nemucod u otros troyanos de descarga.
"La carga útil se entrega como una versión modificada de una aplicación legítima parcialmente sobrescrita por la carga maliciosa. La aplicación utilizada como objetivo para la modificación se está cambiando con regularidad: ejemplos de aplicaciones mal utilizadas en el pasado incluyen TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg, FileZilla Server ", compartió el investigador.
La aplicación se modifica para saltar al código malicioso durante su inicialización y el control se transfiere al malware (la aplicación legítima no funcionará).
Según Poslušný, la intención de este enfoque no es engañar a los usuarios para que crean que están ejecutando la aplicación legítima, sino para minimizar la posibilidad de que el malware sea detectado y analizado.
"Esto hace que el malware sea más difícil de detectar para un analista, ya que muchas herramientas de ingeniería inversa como IDA Pro mostrarán la función main () original como un inicio legítimo del código de la aplicación y un analista podría no detectar nada sospechoso a primera vista", explicó en el comunicado.
Artículos relacionados (por etiqueta)
- Alarma ante un nuevo malware de Android vendido en foros de piratería
- SoReL-20M: un enorme conjunto de datos de 20 millones de muestras de malware publicadas en línea
- ¡Cuidado! Adrozek Malware secuestra navegadores Chrome, Firefox, Edge, Yandex
- El troyano Trickbot ahora tiene la capacidad de modificar la UEFI de una computadora
- La Botnet Stantinko apunta ahora a servidores Linux para esconderse detrás de proxies
- Por qué están disparándose las amenazas de los códigos QR
Lo último de Jesús Cáceres
- Signal vs.Telegram: ¿Cuál es la mejor aplicación de mensajería?
- La NSA sugiere que las empresas utilicen solucionadores de DNS sobre HTTPS 'designados'
- WhatsApp da marcha atrás para el 'intercambio de datos' con Facebook
- El nuevo Windows 10X apunta a la simplicidad
- ¿Qué es Signal y por qué la usan todos?
Deja tus comentarios
- Publicar comentario como invitado. Regístrate o ingresaa tu cuenta