Los investigadores de ESET informaron sobre un nuevo malware
bancario detectado como Win32 / BackSwap. Este malware utiliza una técnica
innovadora para manipular el navegador.
Al detectar actividad bancaria, el malware inyecta un código de JavaScript malicioso en la página a través de la consola de JavaScript del
navegador o directamente en la barra de direcciones.
La actividad se vio por primera vez el 13 de marzo de 2018 y
sigue siendo muy activa. De hecho nuevas variantes se
introducen diariamente y su actividad cesa durante los fines de
semana.
El vector de ataque inicial se distribuye a través de
campañas de correo no deseado malintencionado con «un archivo adjunto en JavaScript oculto de una familia comúnmente conocida como
Nemucod». El programa se presenta como una aplicación legítima, que se
sobrescribe parcialmente por el código malicioso.
Estas aplicaciones legítimas cambian regularmente y han incluido:
TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg y FileZilla
Server. El enfoque Win32 / BackSwap. (que trabaja con elementos de la GUI de
Windows y simula la entrada del usuario) evita los problemas asociados a las
técnicas convencionales de inyección del navegador. Por ejemplo, interactuando
con el navegador en momento de su ejecución, lo que requiere privilegios elevados y
es capaz de evitar cualquier protección del navegador por parte de terceros.
Además, el código malicioso no depende de la arquitectura
del navegador ni de su versión y el mismo código funciona para todos.
Check Point alerta de la llegada a España de este malware, fue
detectado previamente en algunas entidades bancarias de Polonia, pero ya se han
dado los primeros casos en España.
