Ιδιαίτερα ανησυχτικά είναι τα νέα στον τραπεζικό κλάδο και ιδιαίτερα στα συστήματα που είναι επιφορτισμένα με την ασφάλεια του. Σύμφωνα με τις πληροφορίες που βλέπουν το φως της δημοσιότητας, την τελευταία εβδομάδα παρατηρείται η ύπαρξη ενός νέου στελέχους  banking malware, το λεγόμενο BackSwap.

Το συγκεκριμένο μάλιστα φαίνεται να χρησιμοποιεί μια πρωτόγνωρη τεχνική για να παρακάμψει τα ειδικά μέτρα προστασίας των δημοφιλών προγραμμάτων περιήγησης, σύμφωνα με όσα ανακάλυψε η ESET. Η τελευταία μάλιστα κάνει λόγο πως το κακόβουλο λογισμικό,επιτίθεται μέσω του Google Chrome, του Mozilla Firefox, ενώ σε πρόσφατες εκδόσεις οι δημιουργοί του πρόσθεσαν λειτουργίες για επιθέσεις και μέσω Internet Explorer.

Ο τρόπος εξάπλωσης

Η εξάπλωση του BackSwap με τα μέχρι στιγμής δεδομένα γίνεται μέσω spam email με στόχο χρήστες που βρίσκονται κυρίως στη Πολωνία. Τα email έχουν συνημμένο ένα αρχείο JavaScript downloader, το οποίο προέρχεται από την οικογένεια malware Nemucod και  έχει υποστεί τεχνικές απόκρυψης περιεχομένου (obfuscation).

Έπειτα αφού  εισέλθει στο σύστημα μέσω του browser, το BackSwap αναμένει την ανίχνευση τραπεζικής δραστηριότητας, και θα αναλάβει δράση αν το ποσό της τραπεζικής μεταφοράς κυμαίνεται σε ένα συγκεκριμένο εύρος – συνήθως στοχεύουν πληρωμές μεταξύ 10.000 και 20.000 ζλότι Πολωνίας (περίπου 2.800 – 5.600 δολάρια Αμερικής).  Τότε, εισάγει κακόβουλο JavaScript στην ιστοσελίδα, είτε μέσω της κονσόλας JavaScript του προγράμματος περιήγησης είτε απευθείας στη γραμμή διευθύνσεων.

Ανησυχία από τους ειδικούς

Αξίζει να σημειωθεί ότι το συγκεκριμένο banking malware πρόκειται για ένα φαινομενικά εύκολό και απλό «κόλπό» προκειμένου να ξεγελαστεί ο χρήστης, ενώ μάλιστα καταφέρνει με σχεδόν αθόρυβο τρόπο να ξεγελά τους προηγμένους μηχανισμούς προστασίας του browser, οι οποίοι έχουν αναπτυχθεί για πιο σύνθετες επιθέσεις. Όπως χαρακτηριστικά σημειώνει ο Michal Poslušný Malware Researcher της ESET: «Το Win32 / BackSwap.A μας δείχνει ότι στη συνεχιζόμενη μάχη μεταξύ της βιομηχανίας ασφάλειας και των δημιουργών banking malware, οι νέες κακόβουλες τεχνικές δεν χρειάζεται απαραίτητα να είναι πολύ εξελιγμένες για να είναι αποτελεσματικές. Θεωρούμε ότι, καθώς τα προγράμματα περιήγησης προστατεύονται καλύτερα από τις σύγχρονες επιθέσεις, οι δημιουργοί κακόβουλων προγραμμάτων θα επιτεθούν στα προγράμματα περιήγησης με διαφορετικές μορφές, και το Win32/BackSwap.A πιθανά αποδεικνύει αυτό ακριβώς».

Τέλος από την πλευρά της Η ESET έχει ενημερώσει τους δημιουργούς των προγραμμάτων περιήγησης που έχουν προσβληθεί σχετικά με την καινοτόμο μέθοδο που χρησιμοποιεί το BackSwap, ενώ οι λύσεις της ESET ανιχνεύουν και μπλοκάρουν το banking malware.