Исследователи из ИБ-компании ESET обнаружили банковский троян, использующий нестандартные техники манипуляции браузером. По словам экспертов, уловки этого Windows-зловреда, нареченного BackSwap, просты, но способны ввести в заблуждение и антивирус, и браузерную защиту.

Чтобы получить данные для доступа к онлайн-счетам, современные банкеры внедряют свой код в процесс браузера, ставят хуки на определенные функции, отслеживают нужные адреса и модифицируют страницы «на лету». Ранее также была популярна подмена локальных DNS- и интернет-настроек для перенаправления жертвы на фишинговый сайт.

Однако со временем антивирусные программы научились хорошо распознавать попытки инъекции кода, а браузеры получили защиту от перехвата функций. В результате авторам банкеров приходится постоянно модифицировать код в поисках новых путей обхода защитных средств. Многие из таких вирусописателей даже сменили профиль, избрав менее хлопотные способы получения дохода — вымогательство, криптоджекинг.

Создатели BackSwap, судя по всему, решили продолжить противоборство и постарались избавить свое детище от проблем, связанных с распространенными методами внедрения кода. Реализованные в данном банкере техники исключают взаимодействие с браузером на уровне процесса, полагаясь вместо этого на использование элементов графического интерфейса пользователя Windows (GUI) и имитацию нажатия клавиш.

Новоявленный зловред также не требует специальных привилегий и, таким образом, вполне в состоянии обойти современные средства защиты, умеющие детектировать обычное внедрение кода. Более того, BackSwap не зависит от архитектуры или версии браузера (32 бит/64 бит), то есть не требует адаптации к атакуемой мишени, что только на руку злоумышленникам.

Анализ показал, что данный банкер отслеживает заходы жертвы на интересующие его сайты посредством перехвата событий в цикле ожидания сообщений. Этот механизм очередности обработки предусмотрен во всех программах Windows, использующих ее GUI, в том числе в браузерах.

Обнаружив подключение к системе онлайн-банкинга, BackSwap загружает свой JavaScript-ресурс и внедряет его в браузер. Эта вредоносная инъекция, со слов экспертов, осуществляется посредством имитации клавиатурного ввода. Ранние версии банкера вставляли контент в страницы через консоль разработчика: вносили свой скрипт в буфер обмена, скрывали окно браузера, входили в консоль (CTRL+SHIFT+J для Chrome, CTRL+SHIFT+K для Firefox), вставляли туда свой скрипт (CTRL+V), запускали его на исполнение (ENTER), чтобы изменить отображаемую страницу, затем закрывали консоль и вновь показывали жертве окно браузера.

Вся эта процедура, по свидетельству исследователей, занимала менее секунды. Тем не менее, авторы BackSwap от нее впоследствии отказались в пользу взаимодействия с адресной строкой браузера. Ныне зловред вначале имитирует нажатие CTRL+L для выбора адресной строки, очищает поле (DELETE), побуквенно — чтобы обойти защиту от XSS — вставляет строку javascript:, добавляя вредоносный код, затем запускает его (ENTER) и вновь чистит поле ввода адреса, чтобы скрыть следы компрометации.

Все версии BackSwap заточены под атаки через Chrome, Firefox и Internet Explorer, однако путем незначительных изменений этот банкер, по словам экспертов, можно приспособить и к остальным браузерам, использующим консоль разработчика и протокол javascript:. Вендоры затронутых браузеров уже оповещены о новой угрозе.

Как удалось определить, новобранец распространяется через спам с вложенным файлом-загрузчиком. Обычно в этом качестве выступает Nymaim или JavaScript-даунлоудер Nemucod, который два года назад активно использовался для доставки шифровальщика Locky. Загружаемый целевой зловред обычно замаскирован под легитимное приложение — TPVCGateway, SQLMon, DbgView, OllyDbg, FileZilla Server, 7Zip, деинсталлятор WinRAR.

Атакует BackSwap пока только клиентов пяти польских банков: PKO Bank Polski, Bank Zachodni WBK S.A., mBank, ING и Pekao, однако нет гарантии, что в обозримом будущем этот список не расширится. Исследователи также предупреждают, что эффективность новых техник не преминет привлечь внимание в криминальных кругах, и можно ожидать, что новаторские способы обхода защитных решений в скором времени будут растиражированы.

Категории: Аналитика, Вредоносные программы, Главное