Come ti dirotto il bonifico con BackSwap. Il nuovo malware usa una serie di tecniche innovative per colpire il browser della vittima e dirottare le transazioni bancarie.
La lotta contro i malware che prendono di mira i servizi di home banking sembrava andare bene. Tra programmi antivirus sempre più efficaci e accorgimenti tecnici in grado di scongiurare gli attacchi di phishing negli ultimi mesi le società di sicurezza si erano addirittura sbilanciate ne considerare il fenomeno “in calo”. Invece è tutto da rifare.
Ad aprire nuovi orizzonti nel settore ci ha pensato BackSwap, un malware individuato da ESET che utilizza nuove tecniche per violare gli account dei servizi bancari.
Come spiegano i ricercatori in un report pubblicato sul sito della società di sicurezza, l’evoluzione di BackSwap si snoda a partire dai primi mesi del 2018, quando sono comparse le prime versioni del malware, che in quella fase prendevano di mira le transazioni con cripto-valute.
Nei mesi seguenti, però, i cyber-criminali responsabili degli attacchi hanno affinato la loro tecnica e hanno allargato il campo di azione, puntando infine ai più tradizionali servizi di home banking.
Ma in cosa differisce BackSwap dai suoi “colleghi” individuati finora? Secondo ESET, BackSwap rappresenta il classico “uovo di Colombo”, in cui gli autori del malware hanno dimostrato come la complessità non sia sempre sinonimo di efficacia.
I malware che prendono di mira i servizi bancari, infatti, usano solitamente complicate tecniche di injection per aggirare i sistemi di protezione del browser. Questa strategia, però, richiede l’uso di metodi piuttosto elaborati per adattare il codice al sistema (32 o 64 bit) e al tipo di browser installato.
BackSwap, invece, si limita a monitorare la navigazione attraverso l’interfaccia di Windows, ed entra in azione solo nel momento in cui la vittima sta per effettuare una transazione bancaria.
È in questo momento che il malware agisce, iniettando un JavaScript specifico per ogni servizio bancario che riesce a riconoscere. La procedura di iniezione è quanto di più semplice si possa immaginare: BackSwap copia il codice negli appunti e simula la combinazione di tasti per aprire la console per sviluppatori del browser (CTRL+SHIFT+J in Google Chrome, CTRL+SHIFT+K in Mozilla Firefox) e poi incolla il codice del JavaScript (CTRL+V) al suo interno avviandone l’esecuzione con Invio.
Il codice di BackSwap prevede una serie di operazioni che consentono di avviare lo script nel browser al momento opportuno. Nonostante sia una tecnica semplicissima, permette di aggirare le protezioni introdotte dai maggiori produttori di software per la navigazione su Internet.
Una versione più recente di BackSwap utilizza, al posto della console per sviluppatori, la barra degli indirizzi attraverso la funzione JavaScript Protocol URLs.
In realtà tutti i browser presi di mira da BackSwap (Chrome, Firefox e Internet Explorer) integrano un sistema di protezione contro questa tecnica. Quando viene incollato un testo che comincia con “javascript:” i tre browser rimuovono il prefisso e richiedono che l’utente digiti manualmente lo script.
Il malware, però, utilizza una tecnica semplicissima per aggirare la protezione: simula la digitazione del prefisso “javascript:” un carattere alla volta, esattamente come se fosse inserito da un essere umano.
Il contenuto dello script è un altro inno alla semplicità. Piuttosto che cercare di appropriarsi delle credenziali della vittima, BackSwap si limita infatti a modificare le coordinate bancarie del beneficiario nel corso di una procedura di trasferimento, come un bonifico o un giroconto.
In questo modo i pirati informatici non si devono preoccupare di aggirare i sistemi di controllo con autenticazione a due fattori, ma si inseriscono nella fase finale della transazione dirottando il trasferimento su un conto di cui hanno il controllo.
Lascia un commento