Scoperta una nuova famiglia di trojan bancari che impiega tecniche innovative per aggirare le protezioni dei moderni browser e rubare soldi dai conti correnti delle vittime. E’ quanto hanno rilevato i ricercatori di ESET, in riferimento ad una nuova minaccia chiamata ‘BackSwap’.
Il primo esemplare di questo malware – si legge sul sito del Cert Italia (Computer Emergency Response Team) – è stato rilevato come Win32/BackSwap. A e individuato lo scorso 13 marzo, distribuito in una serie di campagne di e-mail fraudolente ai danni di utenti polacchi. “I messaggi di spam utilizzati in queste campagne includono un allegato malevolo contenente codice JavaScript altamente offuscato, identificato come una variante del trojan downloader Nemucod” avvertono gli esperti.
“Il dowloader scarica sul PC della vittima una versione modificata di un’applicazione apparentemente legittima, contenente il payload del malware e progettata in modo da confondere la vittima e rendere più difficile l’individuazione del codice malevolo”. Tra le applicazioni utilizzate da chi ha creato BackSwap per nascondere il trojan figurano TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg e FileZilla Server.
“Allo scopo di intercettare le comunicazioni del browser della vittima e dirottare le transazioni bancarie – aggiungono gli esperti – la maggior parte dei trojan bancari attivi in-the-wild, come Dridex, Ursnif, Zbot, TrickBot, Qbot e molti altri, inietta il proprio codice nello spazio di indirizzamento del browser e aggancia le funzioni specifiche che gli consentono di intercettare il traffico HTTP in chiaro”.
Questa è però una tecnica di “difficile attuazione in quanto prevede l’impiego di moduli progettati specificamente per i diversi browser e per le diverse architetture (32 e 64 bit)
Sfruttando questi eventi, “il malware è in grado di rilevare quando un browser Web si connette a specifici URL corrispondenti ad applicazioni di home banking note. Una volta individuata la banca bersaglio, il malware carica nel browser il codice JavaScript malevolo corrispondente”. Inoltre, “invece di utilizzare la console dello sviluppatore per caricare ed eseguire il codice malevolo, come fanno molti altri malware di questo tipo, BackSwap fa in modo che il codice venga eseguito direttamente dalla barra degli indirizzi del browser, mediante il protocollo standard javascript:”.
Insomma, sottolineano gli esperti, “il malware simula tutti gli eventi di tastiera necessari a scrivere il codice direttamente nella barra degli indirizzi e a mandarlo in esecuzione. BackSwap è in grado di applicare questa tecnica in Google Chrome, in Mozilla Firefox e – in versioni più recenti del malware – anche in Internet Explorer, aggirando con successo le funzioni di protezione di questi browser”.
Gli script malevoli vengono iniettati da BackSwap in pagine specifiche dei siti bancari, da cui “l’utente può effettuare trasferimenti di denaro, ad esempio con un’operazione di bonifico verso un altro conto corrente. Quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello dell’attaccante, che riceverà quindi il denaro al posto del corretto beneficiario”.
“Questa tecnica non può essere contrastata dalle misure di sicurezza delle applicazioni di home banking, in quanto l’utente risulta già autenticato e l’operazione già autorizzata mediante l’uso di sistemi a due fattori (OTP, codici di autorizzazione, token crittografici)”. Al momento, si legge sul sito del CERT, “BackSwap colpisce unicamente un numero limitato di banche polacche ma non si può escludere che i suoi autori possano ampliare in futuro il loro raggio di azione, prendendo di mira istituti bancari di altri Paesi europei”.
Articolo pubblicato il: 3 Giugno 2018 15:00