Backswap и опасността от банкови троянци

Backswap и опасността от банкови троянци
backswap

В ръководството за оцеляване на кибернетичните атаки от 20 млрд. долара, които публикувахме през 2017 г., предупредихме колко опасни могат да бъдат банковите „троянски коне“ и ги изтъкнахме , като една от ключовите тенденции във финансовата киберпрестъпност заедно с „фишинг“ и „keylogers„. Банковите „троянски коне крадат онлайн идентичността на жертвата си и използват тази информация, за да подвеждат финансовите институции и да крадат пари от техните сметки. Обикновено това се прави чрез инсталиране на приложения или вмъкване на злонамерен код в браузърите, от които потребителите имат достъп до банковите си сметки.

Но през последните няколко години изглежда, че нивото на дейност на банковите „троянски коне е намаляло значително. От една страна, институциите реагираха на заплахата чрез значително подобряване на тяхната сигурност и фактори за удостоверяване на техните клиенти; Един пример за това е реализацията на виртуални клавиатури за влизане на потребителите. По този начин не е възможно атакуващ да използва „keylogger“ за кражба на детайлите, които потребителят въвежда с физическа клавиатура.

От друга страна, разработчиците са въвели бариери и механизми, за да предпазят браузърите от „инжектиране“ на нежелан код. Поради тази причина, както вече отбелязахме от известно време, кибер – атаките фокусират усилията си върху други видове атаки, които са по-прости и по-печеливши, като „ransomware“ или криптиране.

Въпреки това, през последните няколко седмици банковите троянски коне започнаха отново да набират скорост, използвайки нови, алтернативни техники, вместо да проникват директно в браузърите. Такъв е случаят с „BackSwap“, нов банков троянски кон, който успя да проникне в няколко испански банки и който би могъл да представлява сериозна заплаха за други компании, особено ако влезе в контакт със служители, които работят в тясно сътрудничество с банковите институции. Но как работи „BackSwap“?

„BackSwap“ и неговите нови техники

„BackSwap“е подобрен и актуализиран вариант на „злонамерен“ софтуер Tinba, разработен през 2015 г. Този „вреден“ софтуер е забележителен поради малкия си размер (между 10 и 50Kb) и неговата способност да краде потребителските идентификационни данни. Както откриват изследователите на ESET, има една ключова разлика между „BackSwap“ и неговия предшественик и други банкови троянски коне, които инжектират злонамерен код като „Zbot“,“ Gozi“ или „Dridex“. Разликата е в неговата методология, която заобикаля бариерите на браузърите и може да бъде по-трудна за по-малко съвременни решения за киберсигурност. Има три нови техники, които BackSwap използва:

– Той открива, когато потребителят има достъп до банкова институция онлайн чрез механизъм, който е разработен за Windows, наречен „Message loop“: BackSwap кликва в цикъла за съобщения на Windows, за да търси модели, подобни на URL, като „https“ адреси и други термини, свързани с името на банка.

– След като открие, че браузърът осъществява достъп и зарежда уебсайт за банкиране, “
„BackSwap“ продължава да манипулира зареденото съдържание, но не инжектира кода директно в браузъра. По-скоро той симулира натискането на клавиши от потребителя и копира кода в клипборда, след което го поставя в конзолата на разработчика. Всичко това се прави по начин, който е невидим за потребителя.

– И накрая, алтернативен метод – и този, който изглежда използва по-често от предишната техника – е да симулира натискането на клавиши в адресната лента на браузъра: той симулира писането на JavaScript string, поставя „злонамерения“ код и на практика при клик се изпълнява кода. Отново нищо от това не се вижда на екрана на потребителя, нито пък оставя следи в историята.

Как можем да го предотвратим?

Както е случаят с други банкови троянски коне като Trickbot, които преди това анализирахме, основният вектор на атака за „BackSwap“ е електронната поща. Тя се разпространява главно чрез спам, съдържащ злонамерени файлове, като прикачените Word документи, в които е вмъкнат злонамерения софтуер. След като файлът е бил изпълнен, той остава на машината и чака „жертвата“ да има достъп до уебсайт, свързан с банковата дейност.

Поради тази причина първата линия на непрекъсната превенция трябва да бъде предпазливост на служителите от подозрителни имейли, съдържащи прикачени файлове. Това е особено важно за служители като финансови директори и членове на административни или счетоводни екипи, чиято роля включва тесни работни взаимоотношения с финансови институции. Важно е да запомните, че темата „Фактура“ е причина за 6 от 10 от най-ефективните „фишинг“ кампании през 2018 година.

Също така е много добра идея да разполагате с усъвършенствани решения за киберсигурност с непрекъснат мониторинг, като например Panda Adaptive Defense. От една страна, той извършва пълно сканиране на всички имейли и прикачени файлове в реално време, веднага щом влязат в пощенската кутия. От друга страна, той постоянно следи браъзвънето на служителите, като открива всяка подозрителна дейност в браузърите на компютрите им. Разширените решения като Adaptive Defense могат да подсигурят отрицателното въздействие на банковите троянски коне като  „BackSwap“ да бъде сведено до минимум.

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в: