Эксперты безопасности ESET обнаружили троян, использующий новый способ кражи средств с банковских счетов. Он работает с элементами графического интерфейса Windows и имитирует нажатие клавиш, чтобы избежать обнаружения и обойти защиту браузера.
В отличие от большинства аналогичных вредоносов, BackSwap не внедряет код в процессы браузера для отслеживания посещений страниц онлайн-банкинга.
Вместо этого он «узнает», когда пользователь заходит в онлайн-банк, с помощью событий Windows в цикле ожидания сообщений. Обнаружив работу с интернет-банком, троян внедряет вредоносный код в веб-страницу через консоль разработчика в браузере или в адресную строку.
После этого BackSwap имитирует нажатие сочетаний клавиш, как будто их нажал сам пользователь. Он «нажимает» CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. После этого банкер очищает адресную строку, чтобы скрыть следы компрометации. Просто и изящно, не правда ли?
Для банкера уязвимы браузеры Google Chrome и Mozilla Firefox, а также Internet Explorer. Метод подходит для большинства браузеров с консолью разработчика или с возможностью выполнения кода JavaScript из адресной строки (это стандартные функции браузера). Троян не требует специальных привилегий в системе и не зависит от версии браузера.
Банкер в основном отслеживает переводы довольно крупных сумм — от 150 тысяч рублей. Пока угроза была зафиксирована в Польше, но специалисты уверены, что список потенциальных жертв может быть расширен, а новый способ обхода защитных механизмов — использован другими кибергруппами.
Читайте также:
