Crear malware bancario eficaz y furtivo se está volviendo cada vez más difícil, lo que obliga a los autores de malware a idear métodos innovadores. El último estallido creativo en este segmento de malware proviene de un grupo que inicialmente ideó la criptomoneda para robar malware al reemplazar las direcciones de billetera en el portapapeles.
Acerca del malware de la banca BackSwap
«Para robar dinero de la cuenta de la víctima a través de la interfaz de banca por Internet, el típico malware bancario se inyectará a sí mismo o su módulo bancario especializado en el espacio de direcciones de proceso del navegador», señala el investigador de malware de ESET Michal Poslušný.
El éxito de este enfoque depende de que la inyección no sea detectada por las soluciones de seguridad, los módulos que coincidan con la bitidez del navegador de destino y el módulo de banca que conecta las funciones del navegador, y su ubicación varía de un navegador a otro.
BackSwap evita el truco habitual de «inyección de proceso para supervisar la actividad de navegación». En cambio, maneja todo al trabajar con elementos de la GUI de Windows y simular la entrada del usuario.
«Esto puede parecer trivial, pero en realidad es una técnica muy poderosa que resuelve muchos ‘problemas’ asociados con la inyección de navegador convencional», señala el investigador.
«En primer lugar, el malware no interactúa con el navegador en el nivel de proceso en absoluto, lo que significa que no requiere ningún privilegio especial y eludía el endurecimiento del navegador por parte de terceros, que generalmente se centra en los métodos de inyección convencionales. Otra ventaja para los atacantes es que el código no depende ni de la arquitectura del navegador ni de su versión, y una ruta de código funciona para todos «.
BackSwap supervisa las URL visitadas, busca y detecta las URL específicas de cada banco y los títulos de las ventanas mediante el enganche de eventos de bucle de mensajes de la ventana clave.
Una vez que se detecta la actividad bancaria, el malware inyecta JavaScript malicioso en la página web, ya sea a través de la consola de JavaScript del navegador o directamente en la barra de direcciones (a través de URL de protocolo JavaScript, una característica poco utilizada compatible con la mayoría de los navegadores). También es interesante que el malware evita astutamente varias contramedidas que los fabricantes de navegadores han implementado para evitar la explotación de esa última característica.
Finalmente, el JavaScript inyectado reemplaza el número de cuenta bancaria del destinatario con el número de una cuenta abierta por los atacantes o sus mulas. Si el usuario no nota el interruptor y autoriza la transacción, el ataque es exitoso.
Distribución BackSwap
Por el momento, el malware está dirigido a clientes de cinco bancos polacos (PKO Bank Polski, Bank Zachodni WBK SA, mBank, ING y Pekao), y solo robará dinero si el monto de la transferencia bancaria está entre 10.000 y 20.000 zlotys polacos ( es decir, $ 2,800 – $ 5,600).
Los objetivos se infectan con el malware abriendo adjuntos maliciosos adjuntos al correo electrónico no deseado, que contiene Nemucod u otros troyanos de descarga.
«La carga útil se entrega como una versión modificada de una aplicación legítima parcialmente sobrescrita por la carga maliciosa. La aplicación utilizada como objetivo para la modificación se está cambiando con regularidad: ejemplos de aplicaciones mal utilizadas en el pasado incluyen TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg, FileZilla Server «, compartió el investigador.
La aplicación se modifica para saltar al código malicioso durante su inicialización y el control se transfiere al malware (la aplicación legítima no funcionará).
Según Poslušný, la intención de este enfoque no es engañar a los usuarios para que crean que están ejecutando la aplicación legítima, sino para minimizar la posibilidad de que el malware sea detectado y analizado.
«Esto hace que el malware sea más difícil de detectar para un analista, ya que muchas herramientas de ingeniería inversa como IDA Pro mostrarán la función main () original como un inicio legítimo del código de la aplicación y un analista podría no detectar nada sospechoso a primera vista», dijo.
Fuente: Helpnetsecurity.com