BackSwap malware con nuevas formas de robar cuentas bancarias

Share this…

Al hablar de los malwares bancarios, mejor conocidos como banker, sabemos que han disminuido su popularidad entre los ciberdelincuentes, una de las razones es que las compañías antimalware y los desarrolladores de navegadores web están ampliando el alcance de sus mecanismos de protección contra los ataques de troyanos bancarios. De acuerdo con expertos en seguridad informatica, esto hace que el fraude de malware bancario sea cada vez más complicado, por lo que los autores de malware dedican su tiempo y recursos a desarrollar malware más fácil de usar y más rentable como es el ransomware, cryptominers y ladrones de criptomonedas.

backswamp

Recientemente, investigadores encontraron una nueva familia de malware bancario que utiliza una técnica nueva para manipular el navegador: en lugar de utilizar métodos complejos de inyección de procesos para supervisar la actividad de navegación, este malware engancha eventos de bucle de mensaje de ventana clave para inspeccionar los valores de los objetos de ventana para la actividad bancaria.

Cuando se detecta la actividad bancaria, el malware inyecta JavaScript malicioso en la página web, esto lo hace a través de la consola de JavaScript del navegador o directamente en la barra de direcciones. Claramente, estas operaciones se realizan sin el conocimiento del usuario.

Los investigadores notaron que el grupo detrás de este malware bancario estaba esparciendo proyectos anteriores, a principios de este año. El grupo de expertos en seguridad informatica, se concentro en el malware del portapapeles durante unos meses y finalmente introdujo la primera versión del malware bancario, detectado por ESET como Win32 / BackSwap.A.

Los profesionales notaron un aumento enorme en la tasa de detección en comparación con los proyectos anteriores. Los autores maliciosos han estado muy activos en el desarrollo del banker y han presentando nuevas versiones casi todos los días.

backswap 1

Los investigadores también encontraron que el banker se distribuye a través de campañas maliciosas de correo electrónico que llevan un archivo adjunto de un programa de descarga de JavaScript ofuscado de una familia conocida como Nemucod.

Es común ver que las máquinas de víctimas  se ven comprometidas por el programa de descarga Win32 / TrojanDownloader.Nymaim, que se distribuye utilizando un método similar.   Los profesionales en seguridad informatica aun no saben si esto es una coincidencia o si estas dos familias están conectadas directamente.

La carga útil se distribuye como una versión modificada de una aplicación legítima parcialmente sobrescrita por la carga maliciosa. La aplicación utilizada para la modificación se cambia con regularidad.

backswap 2

La aplicación se modifica para saltar al código malicioso durante su inicialización.

El método usado podría recordar la “trojanización”, pero la aplicación original ya no funciona, y una vez que se transfiere el control al malware, nunca volverá al código original. Ahora, la intención no es engañar a los usuarios para que crean que están ejecutando una aplicación legítima, sino aumentar el sigilo del malware contra el análisis y la detección. Esto hace el malware más difícil de detectar, ya que herramientas de ingeniería inversa como IDA Pro mostrarán la función original main () como punto de partida legítimo del código de la aplicación y el profesional podría no notar nada a primera vista.

La carga útil es una burbuja de código independiente de posición con los datos incrustados. Las cadenas de caracteres se almacenan en texto sin formato, ya que todas las API requeridas de Windows se buscan mediante hash durante el tiempo de ejecución. El malware comienza copiándose en una carpeta de inicio y luego continúa con su funcionalidad bancaria.

Win32 / BackSwap.A muestra que en la batalla entre los profesionales en seguridad informatica y los autores de malware bancario, las nuevas técnicas maliciosas no necesariamente tienen que ser sofisticadas para ser efectivas. Los expertos creen que, a medida que los navegadores se protejan mejor de la inyección de código convencional, los actores maliciosos atacarán los navegadores de diferentes maneras y Win32 / BackSwap.A nos ha mostrado una de las posibilidades.

Los investigadores ya han notificado a los proveedores de navegadores afectados sobre la nueva técnica de inyección de scripts.