Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il trojan bancario BackSwap impiega tecniche innovative per attaccare i browser delle vittime

BackSwap  spam  trojan   lunedì, 28 maggio 2018

I ricercatori di ESET hanno scoperto una nuova famiglia di trojan bancari, battezzata BackSwap, che impiega tecniche innovative per aggirare le protezioni dei moderni browser e rubare soldi dai conti correnti delle vittime.

Il primo esemplare di questo malware, rilevato dalle soluzioni antivirus di ESET come Win32/BackSwap.A, è stato individuato lo scorso 13 marzo, distribuito nell’ambito di campagne di Email fraudolente ai danni di utenti polacchi. I messaggi di spam utilizzati in queste campagne includono un allegato malevolo contenente codice JavaScript altamente offuscato, identificato come una variante del trojan downloader Nemucod.

Il dowloader scarica sul PC della vittima una versione modificata di un’applicazione apparentemente legittima contenente il payload del malware, progettata in modo da confondere la vittima e rendere più difficile l’individuazione del codice malevolo. Tra le applicazioni utilizzate dagli autori di BackSwap per nascondere il trojan figurano TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg e FileZilla Server.

Allo scopo di intercettare le comunicazioni del browser della vittima e dirottare le transazioni bancarie, la maggior parte dei trojan bancari attivi in-the-wild, come Dridex, Ursnif, Zbot, TrickBot, Qbot e molti altri, inietta il proprio codice nello spazio di indirizzamento del browser e aggancia le funzioni specifiche che gli consentono di intercettare il traffico HTTP in chiaro. Questa tecnica è di difficile attuazione in quanto prevede l’impiego di moduli progettati specificamente per i diversi browser e per le diverse architetture (32 e 64 bit), e può essere intercettata dalle misure di sicurezza anti-hijacking degli applicativi o da soluzioni di sicurezza di terze parti.

BackSwap utilizza un approccio completamente diverso. Invece di interagire coi browser al livello di processo, questo trojan registra funzioni di “hook” per eventi di Windows relativi ad elementi di interfaccia utente delle applicazioni, tra i quali ad esempio EVENT_OBJECT_FOCUS, EVENT_OBJECT_SELECTION, EVENT_OBJECT_NAMECHANGE. Sfruttando questi eventi, il malware è in grado di rilevare quando un browser Web si connette a specifici URL corrispondenti ad applicazioni di home banking note. Una volta individuata la banca bersaglio, il malware carica nel browser il codice JavaScript malevolo corrispondente.

Anche la tecnica di iniezione del codice JavaScript risulta innovativa e particolarmente efficace. Invece di utilizzare la console dello sviluppatore per caricare ed eseguire il codice malevolo, come fanno molti altri malware di questo tipo, BackSwap fa in modo che il codice venga eseguito direttamente dalla barra degli indirizzi del browser, mediante il protocollo standard javascript:. Il malware simula tutti gli eventi di tastiera necessari a scrivere il codice direttamente nella barra degli indirizzi e a mandarlo in esecuzione. BackSwap è in grado di applicare questa tecnica in Google Chrome, in Mozilla Firefox e, in versioni più recenti del malware, anche in Internet Explorer, aggirando con successo le funzioni di protezione di questi browser.

Gli script malevoli vengono iniettati da BackSwap in pagine specifiche dei siti bancari dalle quali l’utente può effettuare trasferimenti di denaro, ad esempio con un’operazione di bonifico verso un altro conto corrente. Quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello dell’attaccante, che riceverà quindi il denaro al posto del corretto beneficiario. Questa tecnica non può essere contrastata dalle misure di sicurezza delle applicazioni di home banking, in quanto l’utente risulta già autenticato e l’operazione già autorizzata mediante l’uso di sistemi a due fattori (OTP, codici di autorizzazione, token crittografici, ecc.).

Al momento, BackSwap colpisce unicamente un numero limitato di banche polacche, ma non si può escludere che i suoi autori possano ampliare in futuro il loro raggio di azione, prendendo di mira istituti bancari di altri paesi europei.

Il post originale sul blog di ESET contiene un’analisi più dettagliata di BackSwap, inclusi svariati indicatori di compromissione (IoC). Il tasso di rilevazione di BackSwap da parte dei più diffusi antivirus risulta abbastanza elevato.

Notizie correlate

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto