miércoles, 16 de enero de 2019

BackSwap llega a españa para atacar las cuentas bancarias


Los investigadores de ESET informaron sobre un nuevo malware bancario detectado como Win32 / BackSwap. Este malware utiliza una técnica innovadora para manipular el navegador.

Al detectar actividad bancaria, el malware inyecta un código de JavaScript malicioso en la página a través de la consola de JavaScript del navegador o directamente en la barra de direcciones.

La actividad se vio por primera vez el 13 de marzo de 2018 y sigue siendo muy activa. De hecho nuevas variantes se introducen diariamente y su actividad cesa durante los fines de semana.

El vector de ataque inicial se distribuye a través de campañas de correo no deseado malintencionado con "un archivo adjunto en JavaScript oculto de una familia comúnmente conocida como Nemucod". El programa se presenta como una aplicación legítima, que se sobrescribe parcialmente por el código malicioso.

Estas aplicaciones legítimas cambian regularmente y han incluido: TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg y FileZilla Server. El enfoque Win32 / BackSwap. (que trabaja con elementos de la GUI de Windows y simula la entrada del usuario) evita los problemas asociados a las técnicas convencionales de inyección del navegador. Por ejemplo, interactuando con el navegador en momento de su ejecución, lo que requiere privilegios elevados y es capaz de evitar cualquier protección del navegador por parte de terceros.

Además, el código malicioso no depende de la arquitectura del navegador ni de su versión y el mismo código funciona para todos.

Check Point alerta de la llegada a España de este malware, fue detectado previamente en algunas entidades bancarias de Polonia, pero ya se han dado los primeros casos en España.

No hay comentarios:

Publicar un comentario