Új banki kártevő a fedélzeten

2018. június 04. 13:53 - Csizmazia Darab István [Rambo]

Az ESET kutatói egy új banki kártevőt fedeztek fel, amely új technikával képes átjutni a böngészők védelmén. A BackSwap elnevezésű vírus kéretlen levelekkel terjed, amelyek egy hamis JavaScript letöltőt tartalmaznak. A kártevőt terjesztő spam kampány eddig egyelőre csak a lengyel felhasználókat célozta meg.

A banki kártevők (bankerek) népszerűsége az elmúlt években csökkent a kiberbűnözők körében, leginkább annak köszönhetően, hogy az antivírus gyártók és a böngészők fejlesztői kiemelt figyelmet fordítottak az ilyen trójai programok elleni védelemre.

Ennek eredményeként a kiberbűnözők az utóbbi időben jobbára olyan más típusú kártevőkre fókuszáltak, mint a zsarolóvírusok, kriptobányász programok és a kriptovalutát lopó megoldások.

Az ESET szakemberei azonban nemrégiben felfedeztek egy új banki kártevőcsaládot, amely innovatív technikával képes manipulálni a böngészőket: a böngészőtevékenység kifürkészéséhez szükséges bonyolult befecskendezéses eljárás (code injection) helyett az új kártevő ugyanis a Windows üzenetláncait vizsgálja, és azokban online banki tevékenységre utaló jelek után kutat.

A kártevő nagy veszélye, hogy mivel a kód univerzális, azaz nem függ sem a böngésző architektúrájától, sem annak verziójától, így egyetlen kód minden böngészőben működik. 

A kártevő az online bankolás észlelése után a felhasználó tudtán kívül egy rosszindulatú JavaScriptet tölt be az aktuális weboldalra a böngésző JavaScript konzolján keresztül, vagy pedig észrevétlenül közvetlenül a címsorba. Régebbi mintákban a program beilleszti a vágólapra a rosszindulatú szkriptet, és szimulálja a fejlesztői konzol megnyitásához szükséges billentyűkombináció leütését (CTRL + SHIFT + J a Google Chrome-ban, a CTRL + SHIFT + K Mozilla Firefoxban), a CTRL + V használatával beilleszti a vágólap tartalmát, majd elküldi az ENTER parancsot a konzol tartalmának végrehajtásához.

Végül a rosszindulatú program továbbítja a konzol bezárásához szükséges billentyűkombinációt is. A böngészőablak a folyamat során láthatatlan - az átlagos felhasználók számára úgy tűnhet, mintha a böngészőjük egy pillanatra lefagyna.

Ezután a banki kártevő lefuttat egy meghatározott szkriptet minden megcélzott bank felé, mivel minden banki weboldal más-más forráskóddal és változókkal rendelkezik. Ezeket a szkripteket olyan oldalakba fecskendezik be, amelyeket a rosszindulatú program átutalási kérelem elindításaként azonosít (például egy közüzemi számla kifizetése).

Az ily módon befecskendezett parancsfájlok titokban helyettesítik az eredetileg címzett bankszámlaszámát egy másikkal, így amikor az áldozat gyanútlanul elküldi a bankátutalást, a pénz igazából már a támadók számlájára megy.  A jogosulatlan fizetésekkel szembeni védelmek, mint például a kétfaktoros azonosítás, ezúttal nem segítenek, mivel a számlatulajdonos saját maga indítja el a manipulált átutalást. 

A banki vírus rosszindulatú spam kampányokon keresztül terjed. A levelekben egy hamis JavaScript letöltő található, amely a Nemucod családból származik. A spam kampány egyelőre csak a lengyel felhasználókat célozza, de ez a jövőben változhat. Az ESET védelmi megoldásai már felismerik és blokkolják a Win32/BackSwap.A trojan programot, és vírusvédelmi szakemberek a böngészők fejlesztőit is figyelmeztették már erre az új kártékony technológiára. 

A kártevő részletes leírása az alábbi linket található. A hatékony védekezéshez a naprakész vírusvédelem mellett érdemes lehet valamilyen JavaScript blokkoló/ellenőrző kiegészítőt is telepíteni, valamint fontos, hogy a kéretlen üzenetekkel szemben egészséges gyanakvással, biztonságtudatos hozzáállással éljünk. 

2 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

süti beállítások módosítása