В ръководството за оцеляване на кибернетичните атаки от 20 млрд. долара, които публикувахме през 2017 г., предупредихме колко опасни могат да бъдат банковите “троянски коне” и ги изтъкнахме , като една от ключовите тенденции във финансовата киберпрестъпност заедно с “фишинг” и “keylogers“. Банковите “троянски коне“ крадат онлайн идентичността на жертвата си и използват тази информация, за да подвеждат финансовите институции и да крадат пари от техните сметки. Обикновено това се прави чрез инсталиране на приложения или вмъкване на злонамерен код в браузърите, от които потребителите имат достъп до банковите си сметки.
Но през последните няколко години изглежда, че нивото на дейност на банковите “троянски коне“ е намаляло значително. От една страна, институциите реагираха на заплахата чрез значително подобряване на тяхната сигурност и фактори за удостоверяване на техните клиенти; Един пример за това е реализацията на виртуални клавиатури за влизане на потребителите. По този начин не е възможно атакуващ да използва “keylogger” за кражба на детайлите, които потребителят въвежда с физическа клавиатура.
От друга страна, разработчиците са въвели бариери и механизми, за да предпазят браузърите от “инжектиране” на нежелан код. Поради тази причина, както вече отбелязахме от известно време, кибер – атаките фокусират усилията си върху други видове атаки, които са по-прости и по-печеливши, като “ransomware” или криптиране.
Въпреки това, през последните няколко седмици банковите троянски коне започнаха отново да набират скорост, използвайки нови, алтернативни техники, вместо да проникват директно в браузърите. Такъв е случаят с “BackSwap”, нов банков троянски кон, който успя да проникне в няколко испански банки и който би могъл да представлява сериозна заплаха за други компании, особено ако влезе в контакт със служители, които работят в тясно сътрудничество с банковите институции. Но как работи “BackSwap”?
“BackSwap” и неговите нови техники
“BackSwap”е подобрен и актуализиран вариант на “злонамерен” софтуер Tinba, разработен през 2015 г. Този “вреден” софтуер е забележителен поради малкия си размер (между 10 и 50Kb) и неговата способност да краде потребителските идентификационни данни. Както откриват изследователите на ESET, има една ключова разлика между “BackSwap” и неговия предшественик и други банкови троянски коне, които инжектират злонамерен код като “Zbot”,” Gozi” или “Dridex”. Разликата е в неговата методология, която заобикаля бариерите на браузърите и може да бъде по-трудна за по-малко съвременни решения за киберсигурност. Има три нови техники, които BackSwap използва:
– Той открива, когато потребителят има достъп до банкова институция онлайн чрез механизъм, който е разработен за Windows, наречен “Message loop”: BackSwap кликва в цикъла за съобщения на Windows, за да търси модели, подобни на URL, като “https” адреси и други термини, свързани с името на банка.
– След като открие, че браузърът осъществява достъп и зарежда уебсайт за банкиране, ”
“BackSwap” продължава да манипулира зареденото съдържание, но не инжектира кода директно в браузъра. По-скоро той симулира натискането на клавиши от потребителя и копира кода в клипборда, след което го поставя в конзолата на разработчика. Всичко това се прави по начин, който е невидим за потребителя.
– И накрая, алтернативен метод – и този, който изглежда използва по-често от предишната техника – е да симулира натискането на клавиши в адресната лента на браузъра: той симулира писането на JavaScript string, поставя “злонамерения“ код и на практика при клик се изпълнява кода. Отново нищо от това не се вижда на екрана на потребителя, нито пък оставя следи в историята.
Как можем да го предотвратим?
Както е случаят с други банкови троянски коне като Trickbot, които преди това анализирахме, основният вектор на атака за “BackSwap” е електронната поща. Тя се разпространява главно чрез спам, съдържащ злонамерени файлове, като прикачените Word документи, в които е вмъкнат злонамерения софтуер. След като файлът е бил изпълнен, той остава на машината и чака “жертвата” да има достъп до уебсайт, свързан с банковата дейност.
Поради тази причина първата линия на непрекъсната превенция трябва да бъде предпазливост на служителите от подозрителни имейли, съдържащи прикачени файлове. Това е особено важно за служители като финансови директори и членове на административни или счетоводни екипи, чиято роля включва тесни работни взаимоотношения с финансови институции. Важно е да запомните, че темата „Фактура“ е причина за 6 от 10 от най-ефективните “фишинг” кампании през 2018 година.
Също така е много добра идея да разполагате с усъвършенствани решения за киберсигурност с непрекъснат мониторинг, като например Panda Adaptive Defense. От една страна, той извършва пълно сканиране на всички имейли и прикачени файлове в реално време, веднага щом влязат в пощенската кутия. От друга страна, той постоянно следи браъзвънето на служителите, като открива всяка подозрителна дейност в браузърите на компютрите им. Разширените решения като Adaptive Defense могат да подсигурят отрицателното въздействие на банковите троянски коне като “BackSwap” да бъде сведено до минимум.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08