I ricercatori di sicurezza hanno individuato una nuova famiglia di trojan bancari, denominata BackSwap: la particolarità è l'uso di tecniche del tutto innovative per aggirare le protezioni dl browser più usati e sottrarre soldi dai conti correnti delle vittime.
BackSwap.A
è il primo esemplare di questo malware, individuato lo scorso 13 Marzo e distribuito nell'ambito di campagne email fraudolente ai danni di utenti europei, sopratutto polacchi. I messaggi di spam usati in questa campagna includevano un allegato dannoso contenente codice JavaScript altamente offuscato, identificato dalla maggior parte degli antivirus come variante del trojan downloader Nemucod. Il downloader scarica sul PC della vittima una versione modificata di un'app apparentemente legittima, che però contiene il payload del malware: è una tecnica finalizzata a confondere la vittima e rendere più difficile l'individuazione del codice dannoso. Tra le app usate dagli sviluppatori di BackSwap per nascondere il trojan troviamo TPVCGateway, SQLMon, DbgView, WinRAR Unistaller, 7Zip, OllyDbg e FileZilla Server.
Le tecniche innovative
La maggior parte dei trojan bancari attivi in the wild, come Dridex, TrickBot, Qbot ecc.., per intercettare le comunicazioni del browser della vittima e dirottare le transazioni bancarie, inietta il proprio codice nello spazio di indirizzamento del browser e "aggancia" quelle funzioni che consentono di intercettare il traffico HTTP in chiaro. E' una tecnica però assai complessa perchè mal si adatta alla varità dei sistemi e dei browser esistenti: i moduli infatti devono essere progettato specificamente per browser diversi (Chrome, Firefox, Edge ecc..) e per architetture diverse (32 bit o 64 bit). Oltre a ciò le varie misure di sicurezza anti-hijacking (cioè che impediscono il redirect del browser verso indirizzi dannosi) intercettano questa tecnica e la bloccano.
BackSwap usa una tecnica del tutto diversa: non interagisce col browser a livello di processo, ma anzi registra funzioni di "hook" per eventi di Windows relativi ad elementi di interfaccia utente delle applicazioni, ad esempio:
EVENT_OBJECT_FOCUS, EVENT_OBJECT_SELECTION, EVENT_OBJECT_NAMECHANGE.
Sfruttando questi eventi il malware può rilevare quando un browser si connette a URL specifici corrispondenti ad app di home banking. Individuata la banca bersaglio, il malware carica nel browser il codice javascript dannoso utile per "forzare" quella determinata app bancaria.
EVENT_OBJECT_FOCUS, EVENT_OBJECT_SELECTION, EVENT_OBJECT_NAMECHANGE.
Sfruttando questi eventi il malware può rilevare quando un browser si connette a URL specifici corrispondenti ad app di home banking. Individuata la banca bersaglio, il malware carica nel browser il codice javascript dannoso utile per "forzare" quella determinata app bancaria.
Perfino la tecnica di iniezione del codice dannoso è innovativa ed efficace: non usa la console dello sviluppatore per caricare e eseguire il javascript, ma inietta direttamente sulla barra degli indirizzi del browser il codice, usando il protocollo standard javascript:. Il malware "semplicemente" simula gli eventi di tastiera necessari a scrivere e eseguire il codice direttamente nella barra degli indirizzi. Questa tecnica funziona su Chrome, Firefox e in Internet Explorer, scavalcando con successo i loro sistemi di protezione. L'iniezione avviene nelle pagine specifiche dei siti bancari dalle quali l'utente può effettuare trasferimenti di denaro: quando viene avviata una transazione, il codice dannoso sostituisce di nascosto il codice del conto di destinazione con quello dell'attaccante. In sunto i trasferimenti di fondi (bonifici o pagamenti) finiscono direttamente versati nel conto dell'attaccante.
Al momento BackSwap colpisce un numero limitato di banche europee, sopratutto polacche, ma la sua efficacia, contrastata solo da meccanismo di autenticazione a due fattori (comunque ancora troppo poco diffusi), fa prevedere plausibili scenari di maggiore diffusione.
Nessun commento:
Posta un commento