BackSwap Banking Trojan utiliza técnicas nunca antes vistas

Investigadores de seguridad han descubierto un nuevo troyano bancario llamado BackSwap que utiliza técnicas nunca antes vistas para facilitar el robo de fondos en línea.

 

Las técnicas que utiliza el troyano no se han observado con otra familia de malware, y pueden eludir la detección de software antivirus y las protecciones de seguridad establecidas en el nivel del navegador.

Los expertos creen que estas técnicas pronto serán copiadas por otros grupos y se diseminarán para desencadenar una nueva ola de ataques de troyanos bancarios justo cuando las infecciones con este tipo de malware hayan comenzado a disminuir.

Técnicas anteriores utilizadas por los troyanos bancarios

Hasta ahora, todos los troyanos bancarios anteriores utilizaban dos trucos principales para robar dinero a las víctimas. La primera técnica, ahora raramente utilizada, dependía de alterar las configuraciones locales de DNS e Internet al interceptar solicitudes de sitios relacionados con la banca y redirigir al usuario a través de un proxy a un sitio web clonado del portal bancario original, donde los delincuentes recolectaban credenciales de inicio de sesión y actuaban como un intermediario entre el usuario y el banco.

La segunda técnica, actualmente la solución de acceso para todos los principales troyanos bancarios como Dridex, Ursnif, Zbot, Trickbot, Qbot y otros, confió en inyectar código malicioso dentro del proceso del navegador.

Esta técnica fue eficiente al principio, pero los proveedores de antivirus han modificado sus aplicaciones para analizar los intentos de inyección de procesos y se han vuelto bastante buenos para detectar estos eventos.

Los proveedores de navegadores han modificado de manera similar su software para evitar que los troyanos bancarios puedan acceder fácilmente a las funciones internas del navegador que permiten a los troyanos inmiscuirse en el contenido de una página.

Hoy en día, la técnica de inyección de procesos es más un dolor de cabeza para los fabricantes de troyanos bancarios, ya que tienen que revisar y modificar su código de inyección después de cada actualización del navegador porque los proveedores de los navegadores siempre cambian algo que rompe el código anterior de los atacantes.

Esta constante incomodidad y una mejor protección de antivirus son, quizás, una de las razones por las que muchos grupos de ciberdelincuentes han pasado de distribuir troyanos bancarios a nuevos tipos de malware como mineros en el navegador, coinminers, ransomware y otros.

BackSwap usa el código relacionado con la interfaz de usuario de Windows para detectar sitios visitados
Pero en un informe publicado hoy, ESET reveló que descubrió el troyano BackSwap, que venía con tres nuevas técnicas que son completamente diferentes de todos los troyanos anteriores.

Además, estas técnicas pasan por alto tanto las protecciones AV como las relacionadas con el navegador porque no alteran en absoluto el proceso del navegador.

La primera técnica que despliega BackSwap es una técnica utilizada para detectar cuando el usuario está accediendo a un sitio web relacionado con la banca. Según ESET, BackSwap usa un mecanismo nativo de Windows llamado “bucle de mensajes”.

Según Wikipedia, “el ciclo de mensajes es una sección obligatoria del código en cada programa que utiliza una interfaz gráfica de usuario en Microsoft Windows”. Los navegadores son aplicaciones GUI, lo que significa que también usan bucles de mensajes.

BackSwap simplemente hace clic en el bucle de mensajes de Windows para buscar patrones similares a URL, como cadenas “https” y otros términos relacionados con el nombre de un banco.

BackSwap abusa de la consola de desarrollador de un navegador

Una vez que detecta que el navegador está accediendo y cargando un sitio web relacionado con la banca, BackSwap usa una de dos técnicas para manipular el contenido cargado. Para ambas técnicas, el troyano no inyecta código dentro del proceso del navegador, sino que simplemente simula las pulsaciones de teclas.

Las versiones iniciales del troyano BackSwap usaban el siguiente método para alterar lo que los usuarios ven dentro de las páginas web.

1.- El malware inserta la secuencia de comandos maliciosa en el portapapeles.

2.- El malware hace que la ventana del navegador sea invisible.

3.- BackSwap simula presionar la combinación de teclas para abrir la consola del desarrollador (CTRL + MAYÚS + J en Google Chrome, CTRL + MAYÚS + K en Mozilla Firefox).

4.- BackSwap simula CTRL + V para pegar el contenido del portapapeles dentro de la consola del desarrollador del navegador.

5.- El troyano simula presionar ENTER para ejecutar el código malicioso.

6.- El código malicioso altera el código del portal bancario para darle al atacante el control de lo que ve el usuario.

7.- El malware envía nuevamente la combinación de teclas de la consola para cerrar la consola

8.-BackSwap vuelve a hacer visible la ventana del navegador.

Todo este ataque tarda menos de un segundo en ejecutarse, y los usuarios tendrán dificultades para darse cuenta de que algo salió mal o incluso distinguirlo de un congelamiento normal del navegador.

BackSwap abusa del protocolo “javascript:”

Pero a pesar de su simplicidad, el equipo de BackSwap parece haber abandonado esta primera técnica, y pasó a una nueva, que interactúa con la barra de direcciones del navegador.

1.- El malware simplemente simula presionar CTRL + L para seleccionar la barra de dirección del navegador.

2.- BackSwap simula la tecla DELETE para borrar el campo URL..

3.- El malware “escribe” en la barra de direcciones la cadena “javascript:” una letra a la vez. El código se escribe una letra a la vez para eludir las protecciones propias del navegador XSS.

4.- El malware pega su código JavaScript malicioso después de la cadena “javascript:”.

5.- El navegador simula presionar una tecla ENTER para ejecutar el código.

6.-El troyano borra la barra de direcciones para eliminar cualquier signo de compromiso.

ESET dice que BackSwap admite ataques contra Google Chrome, Mozilla Firefox e Internet Explorer, pero con pequeños ajustes, las técnicas deberían funcionar contra todos los navegadores, ya que todos los navegadores modernos actuales admiten una consola de desarrollador y el protocolo “javascript:”

BackSwap actualmente apunta solo a bancos polacos

Las técnicas de BackSwap son increíblemente fáciles de ejecutar, y no necesariamente se basan en el conocimiento de alto nivel del sistema operativo Windows para implementarlo, como los ataques anteriores de troyanos bancarios.

Si bien están destinados a extenderse a otras familias de troyanos bancarios en el futuro próximo, en este momento, este troyano no es una amenaza global. Los investigadores dicen que las versiones actuales de BackSwap vienen con soporte para alterar los portales web de solo cinco bancos polacos -PKO Bank Polski, Bank Zachodni WBK S.A., mBank, ING y Pekao.

No obstante, ESET dijo que notificó a los proveedores de navegadores sobre las nuevas técnicas de BackSwap con la esperanza de que implementen contramedidas en las próximas versiones de los navegadores y mitiguen este tipo de ataques antes de que se generalicen con otras familias de malware.

 

Ver información original al respecto en Fuente