В руководстве по выживанию от многомиллионых кибер-атак, опубликованном в 2017 году, мы предупреждали, насколько опасными могут быть банковские трояны, и выделили их как одну из ключевых тенденций в финансовых кибер-преступлениях наряду с фишингом и кейлоггерами. Банковские трояны осуществляют кражу онлайн-личности (регистрационные данные) их жертв и используют эту информацию для обмана финансовых учреждений и кражи денег с их счетов. Как правило, это делается путем установки приложений или встраивания вредоносного кода в браузеры, с помощью которых пользователи подключаются к своим онлайн-банкам.

Но за последние несколько лет, похоже, уровень активности банковских троянов значительно снизился. С одной стороны, банки и финансовые организации отреагировали на эту угрозу, серьезно повысив свой уровень безопасности и факторы авторизации своих клиентов (например, внедрили виртуальные клавиатуры при авторизации клиентов). Таким образом, кибер-преступникам стало очень сложно использовать кейлоггеры для кражи банковских данных, которые пользователь вводит с помощью реальной клавиатуры.

С другой стороны, разработчики внедрили барьеры и механизмы, которые серьезно затруднили встраивание вредоносного кода в браузеры. По этой причине, как мы уже говорили в течение некоторого времени, кибер-преступники сфокусировали свои усилия на других видах атак, которые проще и более прибыльны, например, шифровальщики или криптоджекинг.

Впрочем, за последние несколько недель банковские трояны снова начали набирать обороты, используя новые, альтернативные техники, а не методы непосредственного проникновения в браузеры. Например, это справедливо для BackSwap - нового банковского трояна, который сумел проникнуть в ряд испанских банков, и который может представлять серьезную угрозу для других компаний, особенно, если он вступает в контакт с сотрудниками, работающими с банковскими организациями. Как работает BackSwap?

BackSwap и его новые техники

BackSwap – это улучшенный и обновленный вариант вредоносной программы Tinba, которая была разработана в 2015 году. Данная вредоносная программа была примечательна своим небольшим размером (от 10 до 50 КБ) и своими возможностями для кражи регистрационных данных пользователей. Как обнаружили исследователи ESET, есть одно существенное различие между BackSwap и его предшественником и другими банковскими троянами, которые встраивают вредоносный код, такими как Zbot, Gozi или Dridex. Различие лежит в методологии, которая обходит барьеры со стороны браузеров и может быть намного более сложной для менее современных решений информационной безопасности. Существует три новые техники, которые использует BackSwap:

  • Он обнаруживает, когда пользователь подключается к своему онлайн-банку через родной для Windows механизм под названием «Цикл сообщений» (Message loop): BackSwap нажимает на цикл сообщений Windows для поиска шаблонов, подобных URL, такие как цепочка “https” и другие условия, связанные с названием банка.
  • Как только он обнаруживает, что браузер подключился и загружает сайт банка, BackSwap продолжает манипулировать загруженным контентом, но при этом не встраивает код непосредственно в браузер. Вместо этого он имитирует нажатия клавиш и копирует код в буфер обмена, а затем вставляет его в консоль разработчика. Все это делается невидимым для пользователя способом.
  • Наконец, альтернативный метод – и он, похоже, используется чаще, чем предыдущая техника – это имитация нажатия клавиш в адресной строке браузера: он имитирует написание строки JavaScript, вставляет вредоносный код и фактически нажимает клавишу Enter для выполнения кода. Опять же, ничего из этого не видно на экране пользователя, и в истории не остается никаких следов.

Как мы можем предотвратить это?

Как в случае с другими банковскими троянами, такими как Trickbot, которые мы анализировали ранее, основной вектор атаки для BackSwap – это электронная почта. Он в основном распространяется через спам, содержащий вредоносные файлы, например, вложенные документы Word, в которых встроен вредоносный код. Как только такой файл открывается, вредоносный код остается на компьютере, ожидая, когда жертва будет открывать сайт банка.

По этой причине первой линией непрерывной профилактики должно стать внимание сотрудников на подозрительные письма в электронной почте, содержащие вложения. Это особенно касается таких сотрудников, как финансовые директора или сотрудники администрации или бухгалтерии, роль которых заключается в работе с финансовыми учреждениями. Важно помнить, что письма с темой “Invoice” (или «Счет») стали причиной 6 из 10 самых эффективных фишинговых кампаний в 2018 году.

Кроме того, рекомендуется на предприятии использовать современные решения информационной безопасности с опциями расширенной защиты и непрерывным комплексным мониторингом, такие как Panda Adaptive Defense. С одной стороны, он выполняет полное сканирование всех писем и вложений в реальном времени по мере их поступления в почтовый ящик. С другой стороны, он постоянно отслеживает использование веб-сайтов сотрудниками предприятия, обнаруживая любую подозрительную активность в браузерах на их компьютерах. Такие решения как Panda Adaptive Defense позволяют свести к минимуму негативное влияние таких сложных банковских троянов, как BackSwap.