Los investigadores de ESET informaron sobre un nuevo malware
bancario detectado como Win32 / BackSwap. Este malware utiliza una técnica
innovadora para manipular el navegador.
Al detectar actividad bancaria, el malware inyecta un código de JavaScript malicioso en la página a través de la consola de JavaScript del
navegador o directamente en la barra de direcciones.
La actividad se vio por primera vez el 13 March 2018 and
sigue siendo muy activa. De hecho nuevas variantes se
introducen diariamente y su actividad cesa durante los fines de
semana.
El vector de ataque inicial se distribuye a través de
campañas de correo no deseado malintencionado con “un archivo adjunto en JavaScript oculto de una familia comúnmente conocida como
Nemucod”. The program presents itself as a legitimate application, que se
partially overwrites with malicious code.
These legitimate applications change regularly and have included:
TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg and FileZilla
Server. The Win32 approach / BackSwap. (which works with GUI elements of
Windows and simulates user input) avoids the problems associated with
conventional browser injection techniques. For example, interacting
with the browser at execution time, which requires elevated privileges and
is able to bypass any third-party browser protection.
In addition, the malicious code does not depend on the architecture
of the browser or its version and the same code works for all.
Check Point warns of the arrival of this malware in Spain, fue
detectado previamente en algunas entidades bancarias de Polonia, pero ya se han
dado los primeros casos en España.