BackSwap, un malware bancario que simula ser un usuario para no ser detectado

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

El malware bancario ha disminuido en popularidad entre los ciberdelincuentes en los últimos años, debido que tanto las compañías antimalware como los desarrolladores de navegadores web están ampliando el alcance de sus mecanismos de protección contra los ataques de troyanos bancarios. Esto provoca que los autores de malware dediquen su tiempo y recursos a desarrollar tipos de malware más fáciles de usar y rentables, como el ransomware y los criptomineros.

Pero los investigadores de ESET han descubierto una nueva familia de malware bancario, bautizada como BackSwap, que utiliza una técnica innovadora para manipular el navegador: en lugar de utilizar métodos complejos de inyección de procesos para monitorizar la actividad de navegación, el malware monitoriza el bucle de mensajes del sistema de ventanas de Windows a fin de detectar actividad bancaria.

Una vez que se detecta la actividad bancaria, el malware inyecta JavaScript malicioso en la página web, ya sea a través de la consola de JavaScript del navegador, simulando las pulsaciones de las teclas CTRL+SHIFT+J (para abrir la consola) CTRL+V y ENTER (para pegar y ejecutar el código) y finalmente la combinación para cerrarla, o directamente en la barra de direcciones, simulando también las pulsaciones de un usuario para evitar los mecanismos de seguridad. Todas estas operaciones se realizan sin el conocimiento del usuario. Este es un truco aparentemente simple que, sin embargo, elude los mecanismos avanzados de protección del navegador contra ataques complejos.

El malware se distribuye mediante campañas de spam en las que el gancho suele ser la actualización de una aplicación legítima, como TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg o FileZilla Server. Estas aplicaciones están modificadas para ejecutar el código malicioso contenido en la función _initterm(), que es la que inicializa los punteros y variables antes de la ejecución del 'main()'. Esto dificulta la detección, al no verse ningún comportamiento anómalo al inicio de la ejecución del programa.

Hasta el momento las muestras encontradas están dirigidas a usuarios polacos.