Un sofisticado Malware recíen descubierto, vacía cuentas bancarias de sus objetivos usando métodos totalemente innovadores empleando nueca técnica para evitar la protección del navegador.

BackSwap es el nombre del Malware que está cambiando los tradicionales y complejos procesos de inyección hacia un nuevo e innovador método de la manipulación del navegador web, utilizando el monitoreo de las actividades de su víctima, mediante un bucle de mensajes de Windows para detectar si la víctima está accediendo a la banca electrónica y ahí cargar el código malicioso en el navegador. Para esto, el troyano guarda en el portapapeles el código y lo pega en la consola JavaScript del navegador simulando pulsaciones de teclas especiales que permiten abrir la consola, pegar, ejecutar y finalizar el código; todo esto sin que la víctima perciba más que una pequeña caida de su navegador.

Los atacantes logran esta operación insertando código malicioso JavaScript en la página web ya sea mediante la consola de la página web o específicamente en la dirección del sitio. Lo interesante es que todo este procedimiento es ejecutado con conocimiento del usuario por lo cual los autores del programa evaden la protección y persisten en el lado de la víctima. No es que los usuarios sean cómplices, si no que aparentemente el programa es una trampa bpasica ante los intrincados mecanismos que protegen de elaborados asaltos.

Esta infección se ha distribuido mediante campañas SPAM de correo electrónico (principalmente a usuarios polacos con un promedio de $2500 a $5000 dólares en su transferencia) con archivos adjuntos que contienen descargadores del código JavaScript de la familia Nemucod, el mismo grupo cibercriminal que está destrás de los robos de criptomonedas. Estos correos engañan a los usuarios mediante la actualización de una aplicación legítima tales como SQLMon, DbgView, WinRar Uninstaller, 7Zip o FileZilla Server.

Hoy en día los ataques troyanos enfocados a víctimas de cuentas bancarias están utilizando demasiadas técnicas y la prevención para el usuario final se vuelve cada vez más y más compleja.

Aunque hasta el momento las muestras encontradas están dirigidas a bancos Polacos, hay que recordar que nunca tenemos que abrir correos con archivos adjuntos que no fueron solicitados o no son confiables. En este caso, si lo que llega es una actualización de una aplicación en un programa que tenemos instalado en nuestra computadora, hay que hacer un verificado con la página web oficial de la aplicación o abrir nuestro programa, el cual es el medio por el cual se reciben actualizaciones.

Referencias:

• BackSwap el malware que simula ser un usuario
• BackSwap malware empty bank accounts
• BackSwap Malware