Scoperta una nuova famiglia di trojan bancari che impiega tecniche innovative per aggirare le protezioni dei moderni browser e rubare soldi dai conti correnti delle vittime. E' quanto hanno rilevato i ricercatori di ESET, in riferimento ad una nuova minaccia chiamata 'BackSwap'.
Il primo esemplare di questo malware - si legge sul sito del Cert Italia (Computer Emergency Response Team) - è stato rilevato come Win32/BackSwap.A e individuato lo scorso 13 marzo, distribuito in una serie di campagne di e-mail fraudolente ai danni di utenti polacchi.
VIA MAIL - "I messaggi di spam utilizzati in queste campagne includono un allegato malevolo contenente codice JavaScript altamente offuscato, identificato come una variante del trojan downloader Nemucod" avvertono gli esperti.
"Il dowloader scarica sul PC della vittima una versione modificata di un’applicazione apparentemente legittima, contenente il payload del malware e progettata in modo da confondere la vittima e rendere più difficile l’individuazione del codice malevolo". Tra le applicazioni utilizzate da chi ha creato BackSwap per nascondere il trojan figurano TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg e FileZilla Server.
COSA ACCADE - "Allo scopo di intercettare le comunicazioni del browser della vittima e dirottare le transazioni bancarie - aggiungono gli esperti - la maggior parte dei trojan bancari attivi in-the-wild, come Dridex, Ursnif, Zbot, TrickBot, Qbot e molti altri, inietta il proprio codice nello spazio di indirizzamento del browser e aggancia le funzioni specifiche che gli consentono di intercettare il traffico HTTP in chiaro".
Questa è però una tecnica di "difficile attuazione in quanto prevede l’impiego di moduli progettati specificamente per i diversi browser e per le diverse architetture (32 e 64 bit) e può essere intercettata dalle misure di sicurezza anti-hijacking degli applicativi o da soluzioni di sicurezza di terze parti".
NUOVO VIRUS - BackSwap, invece, "utilizza un approccio completamente diverso". Al posto di interagire coi browser al livello di processo, "questo trojan registra funzioni di 'hook' per eventi di Windows relativi ad elementi di interfaccia utente delle applicazioni, tra i quali ad esempio EVENT_OBJECT_FOCUS, EVENT_OBJECT_SELECTION, EVENT_OBJECT_NAMECHANGE".
Sfruttando questi eventi, "il malware è in grado di rilevare quando un browser Web si connette a specifici URL corrispondenti ad applicazioni di home banking note. Una volta individuata la banca bersaglio, il malware carica nel browser il codice JavaScript malevolo corrispondente".
TECNICA INNOVATIVA - Inoltre, "invece di utilizzare la console dello sviluppatore per caricare ed eseguire il codice malevolo, come fanno molti altri malware di questo tipo, BackSwap fa in modo che il codice venga eseguito direttamente dalla barra degli indirizzi del browser, mediante il protocollo standard javascript:".
Insomma, sottolineano gli esperti, "il malware simula tutti gli eventi di tastiera necessari a scrivere il codice direttamente nella barra degli indirizzi e a mandarlo in esecuzione. BackSwap è in grado di applicare questa tecnica in Google Chrome, in Mozilla Firefox e - in versioni più recenti del malware - anche in Internet Explorer, aggirando con successo le funzioni di protezione di questi browser".
OCCHIO AI BONIFICI - Gli script malevoli vengono iniettati da BackSwap in pagine specifiche dei siti bancari, da cui "l'utente può effettuare trasferimenti di denaro, ad esempio con un’operazione di bonifico verso un altro conto corrente. Quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello dell’attaccante, che riceverà quindi il denaro al posto del corretto beneficiario".
"Questa tecnica non può essere contrastata dalle misure di sicurezza delle applicazioni di home banking, in quanto l’utente risulta già autenticato e l’operazione già autorizzata mediante l’uso di sistemi a due fattori (OTP, codici di autorizzazione, token crittografici)".
CHI COLPISCE - Al momento, si legge sul sito del CERT, "BackSwap colpisce unicamente un numero limitato di banche polacche ma non si può escludere che i suoi autori possano ampliare in futuro il loro raggio di azione, prendendo di mira istituti bancari di altri Paesi europei".
.jpg)
