Sono arrivati i “virus-bancomat”: la nuova minaccia si chiama BackSwap, una nuova famiglia di trojan che utilizza tecniche innovative per aggirare le protezioni dei browser, e prelevare soldi dai conti correnti. Rilevato dai ricercatori di Eset Antivirus, il primo esemplare di questo malware, riferisce il sito del Cert Italia (Computer Emergency Response Team), è il cosiddetto Win32/BackSwap.A, ed è stato individuato lo scorso 13 marzo, quando è stato diffuso attraverso una serie di campagne di e-mail fraudolente ai danni di utenti polacchi.
In pratica, i messaggi di spam utilizzati in queste campagne “includono un allegato malevolo contenente codice JavaScript altamente offuscato – spiegano gli esperti – identificato come una variante del trojan downloader Nemucod”.
La minaccia arriva via email e dirotta le transazioni
Dopo avere ricevuto la email, il downloader scarica sul PC della vittima una versione modificata di un’applicazione apparentemente legittima, contenente il payload del malware, e progettata in modo da confondere la vittima e rendere più difficile l’individuazione del codice malevolo, riporta Adnkronos.
“Allo scopo di intercettare le comunicazioni del browser della vittima e dirottare le transazioni bancarie – aggiungono gli esperti – la maggior parte dei trojan bancari attivi in-the-wild, come Dridex, Ursnif, Zbot, TrickBot, Qbot e molti altri, inietta il proprio codice nello spazio di indirizzamento del browser e aggancia le funzioni specifiche che gli consentono di intercettare il traffico HTTP in chiaro”. Ma BackSwap agisce in maniera diversa.
“Il malware simula tutti gli eventi di tastiera”
Invece di utilizzare la console dello sviluppatore per caricare ed eseguire il codice malevolo, come fanno molti altri malware di questo tipo, “BackSwap fa in modo che il codice venga eseguito direttamente dalla barra degli indirizzi del browser, mediante il protocollo standard javascript:” Insomma, il malware simula tutti gli eventi di tastiera necessari a scrivere il codice direttamente nella barra degli indirizzi e a mandarlo in esecuzione. “BackSwap è in grado di applicare questa tecnica in Google Chrome, in Mozilla Firefox e, in versioni più recenti del malware, anche in Internet Explorer, aggirando con successo le funzioni di protezione di questi browser”.
Attenzione ai bonifici
Gli script malevoli vengono iniettati da BackSwap in pagine specifiche dei siti bancari, da cui l’utente può effettuare trasferimenti di denaro, ad esempio con un’operazione di bonifico verso un altro conto corrente. Quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello dell’attaccante, che riceverà quindi il denaro al posto del corretto beneficiario.
Questa tecnica non può essere contrastata dalle misure di sicurezza delle applicazioni di home banking, in quanto l’utente risulta già autenticato e l’operazione già autorizzata .
Al momento però, si legge sul sito del Cert, “BackSwap colpisce unicamente un numero limitato di banche polacche”, ma non si può escludere che possa ampliare il suo raggio di verso istituti bancari di altri Paesi europei.