新型特洛伊木马BackSwap 绕过浏览器监控注入盗取网银

ESET警告说，新发现的银行木马病毒使用创新技术来检测访问银行网站的时间，并将恶意代码注入到有针对性的页面中。

被称为BackSwap 的恶意软件不再依赖于复杂的流程注入方法来跟踪浏览活动，而是钩住关键窗口消息循环事件。

该安全公司解释说： “这是一个看似简单的伎俩，但却击败了针对复杂攻击的高级浏览器保护机制。

自从2018年1月以来，ESET一直在跟踪这个木马背后的行动者，当时他们正在使用剪贴板恶意软件。黑客在三月份才开始使用BackSwap，但主要集中在开发上，几乎每天都会发布新版本。

为了分发恶意软件，该角色使用恶意电子邮件来携带称为Nemucod的严重混淆的JavaScript下载程序。主要针对波兰用户，BackSwap经常在也感染Nymaim的机器上发现，但两个恶意软件家族之间的强大联系尚不清楚。

BackSwap作为合法应用程序的修改版本提供，恶意代码在初始化过程中启动，并且原始代码从未再次使用，这意味着应用程序根本无法工作（Trojan化软件就是这种情况）。

这表明了一个重点是增加隐身，而不是欺骗用户相信他们正在运行合法的应用程序，并使恶意软件更难以发现。该木马会立即将自己复制到启动文件夹中以确保持久性，然后继续执行其恶意功能。

与典型的注入浏览器进程地址空间的银行恶意软件不同，它会挂钩浏览器特定功能以开始修改流量，BackSwap仅适用于Windows GUI元素并模拟用户输入。

恶意软件安装特定事件范围的事件挂钩来监视访问的URL。然后，它会在浏览器中查找银行特定的URL和窗口标题，以确定受害者何时准备好进行电汇。最后，它从资源中加载适合相应银行的恶意JavaScript并将其注入浏览器。

较旧的变体将恶意脚本注入剪贴板，模拟打开开发人员控制台以粘贴剪贴板内容，执行控制台内容，然后关闭控制台。现在，该脚本直接从地址栏通过JavaScript协议URL执行。

恶意软件可以针对Chrome，Firefox和Internet Explorer（最新版本），但该方法目前可用于大多数浏览器，只要它们具有可用的JavaScript控制台或支持从地址栏执行JavaScript，ESET揭示。

针对每个目标银行使用特定的脚本，并将其注入恶意软件标识为启动电汇请求的页面中。该脚本用另一个替换收件人的银行账号，导致钱被发送到攻击者的账户。

“ESET解释说：”任何防止未授权付款的安全措施，例如双重授权，在这种情况下都无济于事，因为账户拥有者愿意发送电汇。“

BackSwap过去曾针对五家波兰银行（PKO Bank Polski，Bank Zachodni WBK SA，mBank，ING和Pekao），但最近的变种只针对三家银行（PKO BP，mBank和ING）。

老版本依靠托管在被黑客入侵的WordPress网站上的命令和控制（C＆C）服务器来检索欺诈银行帐号，但最近的变体将这些帐号直接存储在恶意脚本中（研究人员说，帐号经常变化）。

如果电汇金额在10,000至20,000 PLN范围内（约2,800美元至5,600美元），木马只会偷钱。